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网 络 规划 设计 师 的 职责 就 是 规划 、 设 计 并 指导 实施 网 络 工程 ， 为 人 们 提供 高 速 、 可 靠 、 经 
济 、 安 全 、 方 便 的 网 络 。 因 此 ， 网 络 规划 设计 师 应 熟悉 应 用 领域 的 业务 ， 能 够 进行 计算 机 网 络 
领域 的 需求 分 析 、 规 划 设 计 、 部 灵 实 施 、 评 测 运 维 等 工作 。 有 具体 来 说 ， 就 是 在 需求 分 析 阶 段 ， 
能 分 析 用 户 的 需求 和 约束 条 件 ， 写 出 网 络 系统 需求 规格 说 明 书 ;在 规划 设计 阶段 ， 能 根据 系统 
需求 规格 说 明 书 ， 完 成 逻辑 结构 设计 、 物 理 结 构 设 计 ， 选 用 适宜 的 网 络 设备 ， 按 照 标准 规范 编 
写 系 统 设计 文档 及 项 目 开 发 计划 ; 在 部 署 实施 阶段 ， 能 按照 系统 设计 文档 和 项 目 开 发 计划 组 织 
项 目 施 工 ， 对 项 目 实施 过 程 进行 质量 控制 、 进 度 控制 、 经 费 控 制 ， 能 具体 指导 项 目 实施 ; 在 评 
测 运 维 阶段 ， 能 根据 相关 标准 和 规范 对 网 络 进 行 评估 测试 ， 能 制定 运行 维护 、 故 障 分 析 与 处 理 
机 制 ， 确 保 网 络 提供 正常 服务 ;， 另 外， 能 指导 制定 用 户 的 数据 和 网 络 战略 规划 ， 能 指导 网 络 工 
程 师 进行 系统 建设 实施 。 

本 书 第 1 章 介 绍 网 络 的 基础 知识 ， 第 2 章 介 绍 网 络 互 连 与 互联 网 ， 第 3 章 介绍 网 络 规划 与 
设计 的 知识 和 方法 ， 第 4 章 介绍 网 络 资源 设备 ， 第 $ 章 介绍 网 络 安全 技术 ， 第 6 章 介 绍 标准 化 
和 软件 知识 产权 ， 第 7 章 介 绍 网 络 系统 分 析 与 设计 案例 ， 第 8 章 介绍 网 络 规划 与 设计 论文 写作 
的 注意 事项 和 评分 依据 。 
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计算 机 网 络 是 计算 机 技术 与 通信 技术 相 结合 的 产物 ， 是 信息 收集 、 分 发 、 存 储 、 处 理 和 消 
费 的 重要 载体 。 计 算 机 网 络 作为 一 种 生产 和 生活 工具 被 人 们 广泛 接纳 和 使 用 之 后 ， 对 人 类 社会 
的 经 济 、 政 治 和 文化 生活 产生 了 重大 影响 。 本 章 讲述 计算 机 网 络 的 基本 概念 和 体系 结构 、 数 据 
通信 基础 知识 、 局 域 网 与 无 线 通信 网 络 以 及 网 络 管理 等 理论 基础 知识 。 


1.1 计算 机 网 络 的 概念 


1.1.1 计算 机 网 络 的 形成 与 发 展 


美国 麻 省 理工 学 院 林肯 实验 室 于 1963 年 为 美国 空军 建成 的 半自动 化 地 面 防空 系统 
SAGE， 被 认为 是 计算 机 和 通信 技术 结合 的 先驱 。 最 早 的 民用 通信 系统 是 20 世纪 60 年 代 初 
投入 使 用 的 飞机 订 票 系统 SABRE-I。 美 国 通 用 电气 公司 的 信息 服务 系统 则 是 世界 上 最 大 的 
商用 数据 处 理 网 络 。 

现代 意义 上 的 计算 机 网 络 是 从 1969 年 美国 国防 高 级 研究 计划 局 (DARPA ) 建成 的 
ARPANET 实验 网 开始 的 。 该 网 络 当 时 只 有 4 个 节点 ， 以 电话 线路 作为 主干 通信 网 络 ， 两 年 后 ， 
建成 15 个 节点 ,进入 工作 阶段 。 此 后 ，ARPANET 的 规模 不 断 扩 大 。 到 了 20 世纪 70 年 代 后 期 ， 
网 络 节点 超过 60 个 ， 主 机 100 多 台 ， 地 理 范 围 跨越 了 美洲 大 陆 ， 连 通 了 美国 东部 和 西部 的 许 
多 大 学 和 研究 机 构 ， 而 且 通 过 通信 卫星 与 夏威夷 和 欧洲 地 区 的 计算 机 网 络 相 互 连 通 。 

20 世纪 70 年 代 中 后 期 是 广 域 通信 网 大 发 展 的 时 期 。 各 发 达 国 家 的 政府 部 门 、 研 究 机 构 和 
电报 电话 公司 都 在 发 展 分 组 交换 网 络 。 例 如 ， 瑞 国 邮政 局 的 EPSS 公用 分 组 交换 网 络 (1973) 、 
法 国 国 家 信息 与 自动 化 研究 所 (INRIA) 的 CYCLADES 分 布 式 数据 处 理 网 络 (1975) 、 加 拿 
大 的 DAIAPAC 公用 分 组 交换 网 〈1976) 以 及 日 本 电报 电话 公司 的 DDX-3 公用 数据 网 〈1979) 
等 。 这 些 网 络 都 以 实现 计算 机 之 间 的 远程 数据 传输 和 信息 共享 为 主要 目的 ， 通 信 线 路 大 多 为 租 
用 电话 线路 ， 少 数 铺设 专用 线路 ， 数 据 传 输 速率 在 S0kbps 左右 。 这 一 时 期 的 网 络 被 称 为 第 二 代 
网 络 ， 以 远程 大 规模 互 连 为 其 主要 特点 。 

20 世纪 70 年 代 中 后 期 同时 也 是 网 络 技术 标准 开始 制定 的 时 期 。IBM 首先 于 1974 年 推出 
了 该 公司 的 系统 网 络 体系 结构 (Systems Network Architecture，SNA ) ， 为 用 户 提供 能 够 互 连 互 
通 的 成 套 通信 产品 ;1975 年 ，DEC 公司 宣布 了 自己 的 数字 网 络 体系 结构 〈Digital Network 
Architecture，DNA ) ; 1976 年 ，UNIVAC 宣布 了 该 公司 的 分 布 式 通信 体系 结构 (Distributed 
Communication Architecture，DCA) 。 网 络 通信 市 场 这 种 各 自 为 政 的 状况 使 得 用 户 在 投资 方 同 
上 无 所 适 从 ， 也 不 利于 多 厂商 之 间 的 公平 竞争 。1977 年 ， 国 际 标准 化 组 织 〈ISO) 的 信息 处 理 
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技术 委员 会 (TC97) SC16 分 委 会 开始 看 手 制 定 开 放 系 统 互 连 参考 模型 OSIRM。 作为 国际 标准 ， 
OSI 规定 了 可 以 互 连 的 计算 机 系统 之 间 的 通信 协议 ， 遵 从 OSI 协议 的 网 络 通信 产品 都 是 所 谓 的 
“开放 系统 ”。 人 今天， 几乎 所 有 的 网 络 产品 三 商都 声称 自己 的 产品 是 开放 系统 ， 不 遵从 国际 标 
准 的 产品 逐渐 失去 了 市 场 。 这 种 统一 的 、 标 准 化 产品 互相 竞争 的 市 场 进一步 促进 了 网 络 技术 的 
发 展 。 

1985 年 ， 美 国 国家 科学 基金 会 (National Science Foundation，NSF) 利用 ARPANET 协议 
建立 了 用 于 科学 研究 和 教育 的 骨干 网 络 NSFNET。1990 年 NSFNET 代替 ARPANET 成 为 美国 
国家 骨干 网 ， 并 且 走 出 了 大 学 和 研究 机 构 ， 进 入 社会 。 从 此 ， 网 上 的 电子 邮件 、 文 件 下 载 和 消 
息 传输 受到 越 来 越 多 的 人 欢迎 ， 并 被 广泛 使 用 。1992 年 ，Internet 学 会 成 立 ， 该 学 会 把 Internet 
定义 为 “组 织 松散 的 、 独 立 的 国际 合作 互联 网 络 ”“ 通 过 自主 遵守 计算 协议 和 过 程 文 持 主 机 对 
主机 的 通信 ”。1993 年 ,美国 伊 利 诡 伊 大 学 国家 超级 计算 中 心 成 功 开 发 了 网 上 浏览 工具 Mosaic 
《后 来 友 展 成 Netscape) ， 使 得 各 种 信息 都 可 以 方便 地 在 网 上 交流 。 浏 览 工具 的 实现 引发 了 
Itemet 发 展 和 普及 的 高 淹 。 上 网 不 再 是 网 络 操作 人 员 和 科学 研究 人 员 的 专利 ， 而 成 为 一 般 人 进 
行 远 程 通信 和 交流 的 工具 。 在 这 种 形势 下 ，1993 年 ， 美 国 时 任 总 统 克 林 顿 宣布 正式 实施 国家 信 
息 基 础 设施 (National Information Infrastructure，NII) 计划 ， 从 此 在 世界 范围 内 展开 了 争夺 信 
息 化 社会 领导 权 和 制高点 的 竞争 。 与 此 同时 ，NSF 不 再 向 Internet 注入 资金 ， 使 其 完全 进入 商 
业 化 运作 。 到 了 20 世纪 90 年 代 后 期 ，Internet 以 惊人 的 高 速度 发 展 ， 网 上 的 主机 数量 、 上 网 人 
数 、 网 络 的 信息 流量 每 年 都 在 成 倍 地 增长 。 


1.1.2 我国 互 联网 的 发 展 


我 国 互 联网 的 发 展 起 始 于 20 世纪 80 年 代 末 。1987 年 9 月 20 日 ， 钱 天 白 教授 通过 意大利 
公用 分 组 交换 网 〈ITAPAC) 设 在 北京 的 PAD 发 出 我 国 的 第 一 封 电 子 邮 件 ， 与 德国 卡尔 斯 鲁 厄 
大 学 进行 通信 ， 揭 开 了 中 国人 使 用 Internet 的 序幕 。 

1989 年 9 月 ,国家 计 委 组 织 建立 中 关 村 地 区 教育 与 科研 示范 网 络 (NCFC) ， 在 北京 大 学 、 
清华 大 学 和 中 科 院 3 个 单位 间 建 设 高 速 互 联网 络 ， 并 建立 了 一 个 超级 计算 中 心 。 

1990 年 10 月 ， 中 国正 式 在 DDN-NIC 注册 登记 了 我 国 的 顶级 域名 CN。1993 年 4 月， 中 
国 科 学 院 计 算 机 网 络 信息 中 心 召 集 部 分 网 络 专家 调查 了 各 国 的 域名 系统 ， 据 此 提出 了 我 国 的 域 

1994 年 4 月 20 日 NCFC 工程 通过 美国 Sprint 公司 连 入 Internet 的 64K 国际 专线 开通 ， 
实现 了 与 mternet 的 全 功能 连接 ， 从 此 我 国正 式 成 为 有 Internet 的 国家 。 

从 1994 年 开始 ， 分 别 由 国家 计 委 、 邮 电 部 、 国 家 教委 和 中 科 院 主持 ， 建 成 了 我 国 的 中 国 
金桥 信息 网 、 中 国 公 用 计算 机 互联 网 、 中 国教 育 科 研 网 和 中 国 科技 网 。 在 短 短 几 年 间 ， 这 些 主 
二 网络 惑 投 入 使 用 ， 形 成 了 国家 主干 网 的 基础 。 

1996 年 以 后 ,我 国 互 联网 的 发 展 进 入 应 用 平台 建设 和 增值 业务 开发 阶段 。 中 国 互 联网 进入 
了 空前 活跃 的 高 速 发 展 时 期 。 一 大 批 中文 网 站 ， 包 括 综 合 性 的 门户 网 站 和 各 种 专业 性 的 网 站 纷 
纷 出 现 ， 提 供 新 闻 报 道 、 技 术 咨 询 、 软 件 下 载 和 休闲 娱乐 等 ICP 服务 ， 以 及 虚拟 主机 、 域 名 注 
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册 、 免 费 空间 等 技术 支持 服务 。 与 此 同时 ， 各 种 增值 服务 也 逐步 展开 ， 其 中 主要 有 电子 商务 、 
了 P 电话 、 视 频 上 点播 和 无 线 上 网 等 。 

1997 年 6 月 3 日, 根据 国务 院 信息 化 工作 领导 小 组 办 公 室 的 决定 ,中国 科 学 院 网 络 信息 中 
心 组 建 了 中 国 互 联网 络 信息 中 心 CCNNIC) ， 同 时 ， 国 务 院 信息 化 工作 领导 小 组 办 公 室 宣布 成 
立 中 国 互 联网 络 信息 中 心 工 作 委 员 会 ，1997 年 11 月 ，CNNIC 发 布 了 第 一 次 《中 国 互 联网 络 发 
展 状 况 统计 报告 》。 

2019 年 2 月 28 日 ，CNNIC 在 京 发 布 第 43 次 《中 国 互联 网 络 发 展 状 况 统 计 报 告 》， 从 互 
联网 基础 建设 、 互 联网 应 用 发 展 、 政 务 应 用 发 展 、 产 业 与 技术 发 展 及 互联 网 安全 等 多 个 方面 展 
示 了 2018 年 我 国 互联 网 发 展 状 况 。2018 年 是 贯彻 党 的 十 九 大 精神 的 开局 之 年 ， 是 改革 开放 40 
周年 ， 是 决胜 全 面 建成 小 康 社会 、 实 施 “ 十 三 五 ”规划 承上启下 的 关键 一 年 ，2018 年 ， 中 国 互 
联网 络 发 展 迅速 ， 呈 现 出 七 个 特点 : 一 是 基础 资源 保有 量 稳步 提升 ，IPv6 应 用 前 景 广 阅 ;， 二 是 
互联 网 普及 率 接近 六 成 ， 入 网 门槛 进一步 降低 ; 三 是 电子 商务 领域 首部 法 律 出 台 ， 行 业 加 速 动 
能 转换 ;四 是 线 下 文 付 习惯 持续 巩固 ， 国 际 文 付 市 场 加 速 开 拓 ; 五 是 互联 网 娱乐 进入 规范 发 展 
轨道 ， 短 视频 用 户 使 用 率 近 八 成 ; 六 是 在 线 政务 服务 效能 得 到 提升 ， 践 行 以 民 为 本 的 发 展 理念 ; 
七 是 新 兴 技 术 领 域 保持 展 好 发 展 势 次 ， 开 拓 网 络 强国 建设 新 局 面 。 


1.1.3 ”计算 机 网 络 的 分 类 


计算 机 网 络 的 组 成 元 素 可 以 分 为 两 大 类 ， 即 网 络 节 点 和 通信 链 路 。 网 络 贡 点 又 分 为 端 节 扣 
和 转发 节点 。 端 节点 指 信 源 和 信和 宿 节 点 ， 例 如 用 户主 机 和 用 户 终端 ;转发 节点 指 网 络 通信 过 程 
中 控制 和 转发 信息 的 节点 ， 例 如 交换 机 、 集 线 器 、 接 口 信息 处 理 机 等 。 通 信 链 路 是 指 传输 信息 
的 信道 ， 可 以 是 电话 线 、 同 轴 和 电费、 无 线 电 线路 、 卫 星 线 路 、 微 波 中 继 线路 和 光纤 线 统 等 。 通 
信子 网 中 转发 节点 的 互 连 模式 叫 作 子 网 的 拓扑 结构 。 在 广域网 中 第 见 的 互 连 拓扑 是 树 型 和 不 规 
则 型 ， 而 在 局 域 网 中 则 常用 星 型 、 环 型 、 总 线 型 等 规则 型 拓扑 结构 。 
按照 使 用 方式 可 以 把 计算 机 网 络 分 为 校园 网 (Campus Network) 和 企业 网 〈Enterprise 
Network) ， 前 者 用 于 学 校内 部 的 教学 科研 信息 的 交换 和 共享 ， 后 者 用 于 企业 管理 和 办 公 目 动 
化 。 一 个 校园 网 或 企业 网 可 以 由 内 联网 (Intranet) 和 外 联网 (Extranet) 组 成 。 内 联网 是 采用 
p 协议 和 _B/MS 结构 ) 建立 的 校园 网 或 企业 网 ， 用 防火 场 限 制 与 外 部 


nternet 近 术 ) 上 引 
二 可 \ 哺 、 要 /个 了 \ 译 
和 安全。 外 联网 是 榨 园 网 或 企业 网 的 一 部 分 ， 通 过 JInterr 由 和 委 全 坤 


/ 

交换 ， 以 确保 内 部 抽 

秋 二 ea 

按照 网 络 服务 的 范围 可 以 把 计算 机 网 络 分 为 公用 网 与 专用 网 。 公 用 网 是 通信 公司 建立 和 经 

营 的 网 络 ， 疝 社会 提供 有 偿 的 通信 和 信息 服务 。 专 用 网 一 般 是 建立 在 公用 网 上 的 虚拟 网 络 ， 仅 
限于 一 定 范围 的 用 户 之 间 的 通信 ， 或 者 对 一 定 范围 的 通信 设备 实施 特殊 的 管理 。 


照 担 供 的 服务 可 以 把 计 入 机 网 络 分 为 通信 网 和 信息 网 。 通 信 网 查 供 远程 联网 服务 ， 各 各 
校园 同和 企业 风 通 过 过 和 过 接 开 成 se 挫 全 和 芋 迁 肛 从 的 位 全 商 叫 作 ISP (Internet Service 
Provider) 。 自 网 担 供 Web 信息 浏览 、 忌 二 天] E 所 尖 等 信息 服 尔 凸 网 经 


服务 的 供应 生 叫 作 ICP 〈JInternet Content Provider) 。 
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1.2 ”计算 机 网 络 体系 结构 


1. OSI 模型 


国际 标准 化 组 织 〈ISO) 于 1978 年 提出 了 一 个 网 络 体系 结构 模型 ， 称 为 开放 系统 互 连 参 考 
模型 (OSIJRM) 。OSIRM 为 开放 系统 互 连 提 供 了 一 种 功能 结构 的 框架 ，ISO 7498 文件 对 它 做 
了 详细 的 规定 和 描述 。 

OSIRM 是 一 种 分 层 的 体系 结构 。 从 逻辑 功能 看 ， 每 一 个 开放 系统 都 是 由 一 些 连续 的 子 系 
统 组 成 ， 这 些 子 系统 处 于 各 个 开放 系统 和 分 层 的 交叉 点 上 ， 一 个 层次 由 所 有 互 连 系 统 的 同一 行 
上 的 子 系统 组 成 。 例 如 ， 每 一 个 互 连 系统 逻辑 上 是 由 物理 电路 控制 子 系统 、 分 组 交换 子 系统 和 
传输 控制 子 系统 等 组 成 ， 而 所 有 互 连 系 统 中 的 传输 控制 子 系统 共同 形成 了 传输 层 。 


玫 训 东航 1 每 一 个 层次 由 一 些 实体 组 成 。 实 体 是 软件 元 素 〈( 如 进程 等 ) 或 硬件 元 素 (如 知 


为 了 商 述 方 人 任何 层 都 可 以 称 为 CV) 层 它 的 上 下 健 导 分 别称 为 CMVM+1) 层 和 〈Nr1) 
层 。 同 样 的 提 法 可 以 应 用 于 所 有 和 层次 有 关 的 概念 ， 例 如 ，(V) 层 的 实体 称 为 《NM) 实体 。 
小 层 的 基本 想法 是 每 一 层 都 在 它 的 是 供 的 服务 的 基础 上 提供 更 高 级 的 增值 服务 ， 而 最 
的 服务 。 这 样 ， 分 层 的 方法 就 把 复杂 问题 分 解 开 了 。 分 层 的 另 
外 一 个 目的 是 保持 层次 之 间 的 独立 性 | 其 方法 就 是 用 原 语 操作 定义 每 一 层 为 上 层 提供 的 服务 ， 
而 不 考虑 这 些 服务 是 如 何 实现 的 ， 即 允许 一 个 层次 或 层次 的 集合 改变 其 运行 的 方式 ， 只 要 它 能 
为 上 层 提供 同样 的 服务 就 行 。 除 最 高 层 外 ， 在 互 连 的 各 个 开放 系统 中 分 布 的 所 有 〈XM) 实体 协 
同 工 作 ， 为 所 有 (NM+l) 实体 提供 服务 。 也 可 以 说 ， 所 有 〈N) 实体 在 “NM-1) 层 提 供 的 服务 的 
基础 上 向 〈N+1) 层 提 供 增值 服务 ， 如 图 1-1 所 示 。 例 如 ， 网 络 层 在 数据 链 路 层 提供 的 氮 到 扩 通 
信服 务 的 基础 上 增加 了 中 继 功 能 ， 传 输 层 在 网 络 层 服务 的 基础 上 增加 了 端 到 端的 控制 功能 


(NM+l ) 层 (N+l ) 实体 
(N ) 服务 (NMN) SAP 
(N) 层 CN) 实体 
(CN-1 ) 服务 (NM-1) SAP 
(CNMN-1 ) 服务 (N1) 实体 


图 1-1 实体 、 服 务 访问 点 和 协议 


第 1 章 “计算 机 网 络 基础 用 四 5 国 


CV) 实体 之 间 的 通信 只 使 用 CAM-1L) 服务 。 最 低层 实体 之 间 通 过 OSI 规定 的 物理 介质 通信 ， 
物理 介质 形成 了 OSI 体系 结构 中 的 〈0) 层 。 CN) 实体 之 间 的 合作 关系 由 (CN) 协议 来 规范 。 
CN) 协议 是 由 公式 和 规则 组 成 的 集合 ， 它 精确 地 定义 了 (CN) 实体 如 何 协同 工作 ， 利 用 (CN1) 
服务 去 完成 CN) 功能 ， 以 便 同 (CNM+1) 实体 提供 服务 。 例 如 ， 传 输 层 协议 定义 了 传输 站 如 何 协 
同 工 作 ， 利 用 网 络 服务 回 会 话 实体 提供 传输 服务 。 同 一 个 开放 系统 中 的 〈N) 实体 之 间 的 直接 
通信 对 外 部 是 不 可 见 的 ， 因 而 不 包含 在 OSI 体系 结构 中 。 

(CN+l) 实体 从 CN) 服务 访问 点 〈Service Accessing Point，SAP) 获得 CNV) 服务 。 (CN) 
SAP 表示 (CN) 实体 与 (NM+1) 实体 之 间 的 逻辑 接口 。 一 个 CNM) SAP 只 能 由 一 个 CN) 实体 提 
供 ， 也 只 能 被 一 个 CNM+1) 实体 所 人 使用。 然而， 一 个 〈CN) 实体 可 以 提供 几 个 CN) SAP， 一 个 
CNM+1) 实体 也 可 能 利用 几 个 CN) SAP 为 其 服务 。 事 实 上 ，(N) SAP 只 是 代表 了 (CN) 实体 和 
(CNM+1I) 实体 建立 服务 关系 的 手段 。 

OSIRM 用 抽象 的 服务 原 语 说 明 一 个 功能 层 提供 的 服务 ， 这 些 服 务 原 语 采用 了 过 程 调用 的 
形式 。 服 务 可 以 看 作 是 层 间 的 接口 ，OSI 只 为 特定 层 协议 的 运行 定义 了 所 需 的 原 语 和 人 参数， 而 
互 连 系统 内 部 层次 之 间 的 局 部 流 控 所 需 的 原 语 和 参数 ， 以 及 层次 之 间 交 换 状 态 信 息 的 原 语 和 人 参 
下 EN OSI we 


语 。 (CNV) 层 所 供 (NMV) SAP 之 间 的 连接 ， 这 种 连接 


是 CNV) 服务 的 组 成 部 分 - 证 常 的 连 楼 是 点 到 点 的 连 搂 。 但 是 也 可 以 在 多 个 端点 之 间 建 立 连 接 ， 
多 点 连接 和 实际 网 络 中 的 广播 通信 相对 应 。 CN) 连接 的 两 端 叫 作 CN) 连接 端点 〈Connection 
End Point，CEP) ， (CN) 实体 用 本 地 的 CEP 来 标识 它 建立 的 各 个 连接 。 另 外 ， 在 网 络 服务 中 
还 有 一 种 叫 作 数据 报 的 无 连接 的 通信 ， 它 对 面向 事务 处 理 的 应 用 很 重要 ， 所 以 后 来 也 增添 到 
OSIRM 中 。 


OSI 参考 模型 中 各 层 的 功能 如 下 : 

物理 层 的 主要 功能 是 在 链 路 上 透明 地 传输 比特 ， 包 括 线路 配置 、 确 定数 据 传 输 模 式 、 确 定 
信和 号 形式 、 对 信和 号 进行 编码 、 连 接 传 输 介 质 。 为 此 定义 了 建立 、 维 护 和 拆除 物理 链 路 所 具备 的 
机 械 特 性 、 电 气 特 性 、 功 能 特性 以 及 规程 特性 。 在 物理 层 ，OSI 采用 了 各 种 现成 的 协议 ， 其 申 
有 
的 物理 层 协议 。 

数据 链 路 层 将 比特 组 成 帧 ,在 链 路 上 提供 点 到 点 的 帧 传输 ， 并 进行 差错 控制 、 流 量 控制 等 。 
在 数据 链 路 层 ，OSI 的 协议 集 也 是 采用 了 当前 流行 的 协议 ， 其 中 包括 HDLC、LAP-B 以 及 IEEE 
802 的 数据 链 路 层 协 议 〈ISO 8802) 。 

网 络 层 在 源 节点 和 目的 节点 之 间 进 行路 由 选择 、 拥 塞 控制 、 顺 序 控制 、 传 送 包 ， 保 证 报 文 
的 正确 性 。OSI 网 络 层 又 分 成 了 3 个 子 层 ，ISO 8648 文件 描述 了 网 络 层 内 部 的 组 织 ， 给 出 了 3 
个 子 层 的 协议 。 最 上 面 的 子 层 完 成 与 子 网 无 关 的 会 聚 功能 (SNIC) ， 相 当 于 网 际 协议 ， 中间 一 
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个 子 层 实 现 与 子 网 相关 的 会 聚 功能 〈SNDC) ， 它 的 作用 是 把 一 个 具体 的 网 络 服务 改造 得 适合 
于 网 络 子 层 的 需要 ; 最 下 面 的 子 层 利用 数据 链 路 服务 ， 实 现 子 网 访问 功能 〈SNAC) 。 
层 主机 A WE 主机 B 数据 交换 单元 


传输 介质 


图 1-2 ”OSI 体系 结构 


传输 层 提 供 端 到 端的 可 靠 的 、 透 明 的 数据 传输 ， 保 证 报 文 顺序 的 正确 性 、 数 据 的 完整 性 。 
OSI 传输 服务 定义 文件 是 ISO 8072， 传 输 层 协议 规范 文件 是 ISO 8073〔〈 连 接 模 式 ) 和 ISO 8602 
(无 连接 模式 ) 。 

会 话 层 建立 通信 进程 的 逻辑 名 字 与 物理 名 字 之 间 的 联系 ， 提 供 进 程 之 间 建 立 、 管 理 和 终止 
会 话 的 方法 ， 处 理 同 步 与 恢复 问题 。 会 话 层 在 传输 层 提供 的 完整 的 数据 传送 平台 上 提供 应 用 进 
程 之 间 组 织 和 构造 交互 作用 的 机 制 ， 这 种 机 制 表 现在 会 话 层 服务 定义 文件 ISO 8326〈CCITT 
X.21$) 和 协议 规范 文件 ISO 8327 (CCITT X.225) 中 。 

表示 层 实现 数据 转换 〈 包 括 格式 转换 、 压 缩 、 加 密 等 ) ， 提 供 标准 的 应 用 接口 、 公 用 的 通 
信服 务 、 公 共 数 据 表 示 方 法 。 

应 用 层 对 用 户 提供 不 透明 的 各 种 服务 ， 如 E-mail。 

OSI 模型 比较 完整 ， 但 也 非常 复杂 。 除 了 低 3 层 有 实现 外 ， 其 余 层 次 没有 实现 ， 现 在 已 基 
本 不 用 。 


2. TCP/IP 模型 


美国 国防 高 级 研究 计划 局 (DARPA) 1969 年 在 研究 ARPANET 时 提出 了 TCP/P 模型 。 和 
开放 系统 互 连 参 考 模型 一 样 ，TCP/PP 协议 是 一 个 分 层 结构 。 协 议 的 分 层 使 得 各 层 的 任务 和 目的 
十 分 明确 ， 这 样 有 利于 软件 编写 和 通信 控制 。TCP/P 协议 分 为 4 层 ， 由 下 至 上 分 别 是 网 络 接口 
层 、 网 际 层 、 传 输 层 和 应 用 层 ， 如 图 1-3 所 示 。 
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应 用 层 


LN 了 TS3L 


传输 层 


网 络 接口 层 


图 1-3 TCP/P 协议 分 层 结构 


最 上 层 是 应 用 层 ， 浆 是 和 用 户 打 交 着 的 部 分 , 用 户 在 应 用 层 上 进行 操作 ,如 收发 电子 邮件 、 
文件 传输 等 。 也 惑 是 说 ， 用 户 必 须 通 过 应 用 层 才 能 表达 出 他 的 意愿 ， 从 而 达到 目的 。 其 中 ， 简 


单 网 络 管理 协议 CSNMP ) 束 是 一 个 典型 的 应 用 层 协议 。 应 用 层 的 主要 协议 有 DNS、HTTP、 


传输 层 的 主要 功能 是 对 应 用 层 传递 过 来 的 用 户 信息 进行 分 段 处 理 ， 然 后 在 各 段 信息 中 加 入 
一 些 附加 的 说 明 ， 如 说 明 各 段 的 顺序 等 ， 保 证 对 方 收 到 可 靠 的 信息 。 钱 民有 两 胡 傣 议 恒 不 韦 
传输 控制 协议 〈TCP) ;， 另 一 个 是 用 户 数据 包 协议 CUDP) ，SNMP 就 是 基于 UDP 协议 的 一 个 
应 用 协议 。 传 输 层 的 主要 协议 有 TCP、UDP-。 

网 际 层 将 传输 层 形成 的 一 段 一 段 的 信息 打包 成 耳 数据 包 ， 在 报头 中 填 入 地 址 信息 ， 然 后 
选择 好 发 送 的 路 径 。 本 层 的 网 际 协议 〈 卫 ) 和 传输 层 的 TCP 是 TCP/P 体系 中 两 个 最 重要 的 协 
议 。 与 瑟 协议 配套 使 用 的 还 有 地 址 解析 协议 ARP) 、 逆 向 地 址 解析 协议 (RARP) 、Internet 


控制 报 文 协 议 〈ICMP) 。 


网 络 接口 层 是 最 辰 层 ， 也 称 链 路 层 ， 其 功能 是 接收 和 发 送 卫 数据 包 ， 负 责 与 网 络 中 的 传 
得 巡 介 打交道 。 网 络 接口 层 一直 没 有 明确 地 定义 其 功能 、 协 议和 实现 方式 。 


TCP/P 规范 了 网 络 上 的 所 有 通信 ， 尤 其 是 一 个 主机 与 一 个 主机 之 间 的 数据 往来 格式 以 及 传 
送 方式 。 数 据 传送 过 程 可 以 形象 地 理解 为 ，TCP 和 卫 就 像 两 个 信封 ， 要 传递 的 信息 被 划分 成 若干 
段 ， 每 一 段 塞 入 一 个 TCP 信封 ， 并 在 该 信封 上 记录 分 段 号 信息 ， 再 将 TCP 信封 塞 入 卫 大 信封 ， 发 
大 上 网 。 在 接收 端 ， 每 个 TCP 软件 包 收 集 信 封 ， 抽 出 数据 ， 按 发 送 前 的 顺序 还 原 ， 并 加 以 校 验 ， 
若 发 现 差错 ，TCP 将 会 要 求 重 发 。 因 此 ，TCP/P 在 互联 网 中 几乎 可 以 无 差错 地 传送 数据 。 


1.3 ”数据 通信 基础 


计算 机 网 络 采 用 数据 通信 方式 传输 数据 。 数 据 通 信和 电话 网 络 中 的 语音 通信 不 同 ， 也 和 无 
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线 电 广 播 通信 不 同 ， 它 有 其 自身 的 规律 和 特点 。 数 据 通信 技术 的 发 展 与 计算 机 技术 的 发 展 密切 
相关 ， 又 互相 影响 ， 形 成 了 一 门 独立 的 学 科 。 这 门 学 科 主要 研究 对 计算 机 中 的 二 进 制 数据 进行 
传输 、 交 换 和 处 理 的 理论 、 方 法 以 及 实现 技术 。 


1.3.1 数据 通信 的 基本 概念 
1. 信道 带宽 


模拟 信道 的 带宽 玫 AA， 其中, 凡是 信道 能 通过 的 最 低频 率 , 忆 是 信道 能 通过 的 最 高 频率 ， 
两 者 都 是 由 信道 的 物理 特性 决定 的 。 当 组 成 信道 的 电路 制 成 了 ， 信 道 的 融 宽 束 决 定 了 。 为 了 使 
言 号 传输 中 的 失真 小 一 些 ， 信 道 要 有 足够 的 市 宽 。 

数字 信道 是 一 种 离散 信道 ， 它 只 能 传送 取 离 散 值 的 数字 信号。 信道 的 带宽 决定 了 信道 中 能 
不 失真 地 传输 的 脉冲 序列 的 最 高 速率 。 一 个 数字 脉冲 称 为 一 个 码 元 ， 用 码 元 速率 表示 单位 时 间 
内 信和 号 波形 的 变换 次 数 ， 即 单位 时 间 内 通过 信道 传输 的 码 元 个 数 。 大 信和 号码 元 宽度 为 了 秒 ， 则 
人 码 元 速率 B=-1/7。 ， 所 以 码 元 速率 也 叫 波 特 率 。 早 在 1924 年 ， 
贝尔 实验 室 的 研究 员 哈 里 : 奈 奎 斯 特 (Harry Nyquist) 就 推导 出 了 有 限 带宽 无 噪声 信道 的 极限 波 
特 率 ， 称 为 奈 奎 斯 特定 理 。 大 信 道 带宽 为 矿 ， 则 条 奎 斯 特定 理 指 出 最 大 人 码 元 速率 为 


奈 奎 斯 特定 理 指定 的 信道 容量 也 叫 作 奈 奎 斯 特 极限 ， 这 是 由 信道 的 物理 特性 决定 的 。 超 过 
奈 奎 斯 特 极 限 传送 脉冲 信和 号 是 不 可 能 的 ， 所 以 要 进一步 提高 波 特 率 必 须 改 善信 道 带 宽 。 

码 元 携带 的 信息 量 由 码 元 取 的 离散 值 的 个 数 决定 。 若 人 码 元 取 两 个 离散 值 ， 则 一 个 人 码 元 携 天 
1 位 信息 。 若 码 元 可 取 4 种 离散 值 ， 则 一 个 码 元 携带 两 位 信息 。 总 之 ， 一 个 码 元 携带 的 信息 量 
1 《位 ) 与 码 元 的 种 类 数 W 有 如 下 关系 


单位 时 间 内 在 信道 上 传送 的 信息 量 〈 位 数 ) 称 为 数据 速率 。 在 一 定 的 波 特 率 下 提高 速率 的 
途径 是 用 一 个 码 元 表示 更 多 的 位 数 。 如 果 把 两 位 编码 为 一 个 码 元 ， 则 数据 速率 可 成 倍 提高 。 有 


其 中 ，R 表示 数据 速率 ， 
数据 速率 和 波 特 率 是 两 个 不 同 的 概念 。 仅 当 码 元 取 两 个 离散 值 时 两 者 的 数值 才 相 等 。 对 于 
普通 电话 线路 ， 带 宽 为 3000Hz， 最 高 波 特 率 为 6000Baud， 最 高 数据 速率 可 随 着 调制 方式 的 不 
同 而 取 不 同 的 值 。 这 些 都 是 在 无 噪声 的 理想 情况 下 的 极限 值 。 实 际 信道 会 受到 各 种 噪声 的 干扰 ， 
因而 远 远 达 不 到 按 奈 奎 斯 特定 理 计 算出 的 数据 传送 速率 。 香 农 (Shannon) 的 研究 表明 ， 有 噪 
声 信道 的 极限 数据 速率 可 由 下 面 的 公式 1 


这 个 公式 叫 作 香 农 定理 ， 其 中 ， 球 为 信道 带宽 ，$ 为 信号 的 平均 功率 ，N 为 噪声 平均 功率 ， 
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SN 叫 作 信 噪 比 。 由 于 在 实际 使 用 中 $ 与 的 比值 太 大 ， 故 常 取 其 分 贝 数 (dB) 。 分 贝 与 信 品 


汪汪 


比 的 关系 为 


这 是 极限 值 ， 只 有 理论 上 的 意义 。 实 际 上 ， 在 3000Hz 带宽 的 电话 线 上 ， 数 据 速 率 能 达到 
9600bps 就 很 不 错 了 。 

综 上 所 述 ， 有 两 种 这 宽 的 概念 ， 在 模拟 信道 ， 带 宽 按 照 公式 [ 孜 广 计算 ， 例 如 CATV 电 
级 的 带宽 为 600MHz 或 1000MHz; 数字 信道 的 带宽 为 信道 能 够 达到 的 最 大 数据 速率 ,例如 以 太 
网 的 带宽 为 10Mbps 或 100Mbps。 两 者 可 互相 转换 。 


2. 误 码 率 


在 有 噪声 的 信道 中 ， 数 据 速率 的 增加 意味 看 传输 中 出 现 差错 的 概率 增加 。 用 误 码 率 来 表示 
传输 二 进 制 位 时 出 现 差 错 的 概率 。 误 码 率 可 用 下 式 表 示 
于 (出 错 的 位 数 ) 
” NM 传 送 的 总 位 数 ) 
在 计算 机 通信 网 络 中 ， 误 码 率 一 般 要 求 低 于 1024， 即 平均 每 传送 1 兆 位 才 人 允许 错 1 人 位。 在 
误 但 率 低 于 一 定 的 数值 时 ， 可 以 用 差错 控制 的 办 法 进行 检查 和 纠正 。 


3. 信道 延迟 


信号 在 信道 中 传播 , 从 源 端 到 达 宿 端 需要 一 定 的 时 间 。 这 个 时 间 与 源 端 和 宿 端的 距离 有 关 ， 
也 与 具体 信道 中 的 信号 传播 速度 有 关 。 以 后 考虑 的 信号 主要 是 电信 号 ， 这 种 信号 一 般 以 接近 光 
速 〈300m/hs) 传播 ， 但 随 传输 介质 的 不 同 而 略 有 差别 。 例 如 ， 在 电 约 中 的 传播 速度 一 般 为 光 
速 的 77%， 即 200mhs 左右 。 

一 般 来 说 ， 考 虑 信号 从 源 端 到 达 宿 端的 时 间 是 没有 意义 的 ， 但 对 于 一 种 具体 的 网 络 ， 我 们 
经 音 对 该 网 络 中 相距 最 远 的 两 个 站 之 间 的 传播 时 延 感 兴趣 。 人 人 
we 例如 ， 遇 电缆 衣 


1.3.2 ”数据 编码 


二 进 制 数字 信息 在 传输 过 程 中 可 以 采用 不 同 的 代码 , 各 种 代码 的 抗 噪声 特性 和 定时 功能 
不 相同 ， 实 现 费 用 也 不 一 样 。 常 用 的 编码 方案 如 图 1-4 所 示 。 
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单 极 性 码 
极 性 码 
双 极 性 码 
归 零 码 
双 相 码 
不 归 堆 人 码 


曼彻斯特 编码 


| 之 + S++lIS+1IS+1iC+ 1S+ 1 它 + 


差分 曼彻斯特 编码 


图 1-4 第 用 编码 方案 


1. 单 极 性 码 


在 这 种 编码 方案 中 ， 只 用 正 的 《或 负 的 ) 电压 表示 数据 。 例 如 ， 在 图 1-4 中 用 +3V 表示 二 
进 制 数字 “0”,， 用 0V 表示 二 进 制 数字 “1”。 单 极 性 码 用 在 电 传 打字 机 (TITY) 接口 以 及 PC 
与 TTY 兼容 的 接口 中 ， 这 种 代码 需要 单独 的 时 钟 信号 配合 定时 ， 和 否则 ， 当 传送 一 长 串 0 或 1 
时 ， 发 送 机 和 接收 机 的 时 钟 将 无 法 定时 ， 单 极 性 码 的 抗 噪声 特性 也 不 好 。 


2. 极 性 码 


在 这 种 编码 方案 中 ， 分 别 用 正 电 压 和 负电 压 表示 二 进 制 数 “0” 和 “1”。 例 如 ， 在 图 1-4 中 
用 +3V 表示 二 进 制 数字 “0”,， 用 -3V 表示 二 进 制 数 字 “1”。 这 种 代码 的 电 平 差 比 单 极 性 码 大 ， 
因而 抗 干扰 特性 好 ， 但 仍然 需要 另外 的 时 钟 信 和 号 


3. 双 极 性 码 


在 双 极 性 编码 方案 中 ， 信 和 号 在 3 个 电 平 〈 正 、 负 、 零 ) 之 间 变 化 。 一 种 典型 的 双 极 性 码 就 
是 所 谓 的 信号 交替 反 转 编码 (Alternate Mark Inversion，AMI) 。 在 AMI 信号 中 ， 数 据 流 中 遇 
到 “1” 时 使 电 平 在 正和 负 之 间 交 替 翻 转 ， 而 遇 到 “0” 时 则 保持 零 电 平 。 双 极 性 是 三 进 制 信和 号 
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编码 方法 ， 它 与 二 进 制 编 码 相 比 抗 噪声 特性 更 好 。AMI 有 其 内 在 的 检 错 能 力 ， 当 正 负 脉 冲 交 替 
出 现 的 规律 被 打 乱 时 容易 识别 出 来 , 这 种 情况 叫 AMI 违例 。 这 种 编码 方案 的 缺点 是 当 传 送 长 串 
“0” 时 会 失去 位 同步 信息 。 对 此 稍 加 改进 的 一 种 方案 是 “6 零 取 代 ” 双 极 性 码 B6Z2S， 即 把 连续 6 
个 “0” 用 一 组 代码 代 奉 。 这 一 组 代码 中 有 含有 AMI 违例 ， 便 可 以 被 接收 机 识别 出 来 。 


4. 归 和 零 码 


在 归 零 码 中 ， 码 元 中 间 的 信号 回归 到 零 电 平 ， 因 此 ， 任 意 两 个 码 元 之 间 被 零 电 平 隔 开 。 与 
以 上 仅 在 码 元 之 间 有 电 平 转换 的 编码 方案 相 比 ， 这 种 编码 方案 有 更 好 的 噪声 抑制 特性 。 因 为 噪 
声 对 电 平 的 干扰 比 对 电 平 转换 的 干扰 要 强 ， 而 这 种 编码 方案 是 以 识别 电 平 转换 边 来 判别 “0” 
和 “1” 信 号 的 。 图 1-4 中 表示 出 的 是 一 种 双 极 性 归 零 名。 可 以 看 出 ， 从 正 电 平 到 零 电 平 的 转换 
边 表示 码 元 “0”， 从 负电 平 到 零 电 平 的 转换 边 表示 但 元 “1”， 同 时 每 一 位 码 元 中 间 都 有 电 乎 
转换 ， 使 得 这 种 编码 成 为 目 定 时 的 编码 。 


S. 双 相 码 


双 相 人 码 要 求 每 一 位 中 都 要 有 一 个 电 平 转换 。 因 而 这 种 代码 的 最 大 优点 是 目 定 时 ， 同 时 双 相 
码 也 有 检测 错误 的 功能 ， 如 果 东 一 位 中 间 缺 少 了 电 平 翻转 ， 则 被 认为 是 违例 代码。 


6. 不 归 雪 码 


图 1-4 中 所 示 的 不 归 零 码 的 规律 是 当 “1” 出 现时 电 平 翻 转 ， 当 “0” 出 现时 电 平 不 翻转 。 
因而 数据 “1” 和 “0” 的 区 别 不 是 高 低 电 平 ， 而 是 电 平 是 否 转换 。 这 种 代码 也 叫 差分 码 ， 用 在 
终端 到 调制 解 调 器 的 接口 中 。 这 种 编码 的 特点 是 实现 起 来 简单 ,而 且 费 用 低 ， 但 不 是 目 定 时 的 。 


7. 曼彻斯特 编码 


曼彻斯特 编码 是 一 种 双 相 码 。 在 图 1-4 中 ， 用 高 电 平 到 低 电 和 平 的 转换 边 表 示 “0”， 用 低 
电 平 到 高 电 平 的 转换 边 表示 “1”， 相 反 的 表示 也 是 允许 的 。 位 中 间 的 电 平 转换 边 既 表示 了 数 
据 代 码 ， 同 时 也 作为 定时 信号 使 用 。 曼 彻 斯 特 编 码 用 在 以 太 网 中 。 


8. 郑 分 曼彻斯特 编码 


差分 曼彻斯特 编码 也 是 一 种 双 相 码 ， 和 曼彻斯特 编码 不 同 的 是 ， 这 种 码 元 中 间 的 电 平 转换 
边 只 作为 定时 信号 ， 不 表示 数据 。 数 据 的 表示 在 于 每 一 位 开始 处 是 否 有 电 平 转换 ， 有 电 平 转换 
表示 “0”， 无 电 平 转换 表示 “1”。 差 分 曼彻斯特 编码 用 在 令 牌 环 网 中 。 

从 曼彻斯特 编码 和 差分 曼彻斯特 过 码 的 图 形 中 可 以 看 出 ,这 两 种 双 相 码 的 每 一 个 码 元 都 要 
调制 为 两 个 不 同 的 电 平 , 因而 调制 速率 是 码 元 速率 的 两 倍 。 这 对 信道 的 带宽 提出 了 更 高 的 要 求 ， 
所 以 实现 起 来 更 困难 ， 也 更 昂贵 。 但 由 于 其 良好 的 抗 噪声 特性 和 目 定 时 功能 ， 在 局 域 网 中 仍 被 
广泛 使 用 。 
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9. 多 电 乎 编码 


多 电 乎 编码 的 码 元 可 取 多 个 电 平 之 一 ， 每 个 码 元 可 代表 几 个 二 进 制 位 。 例 如 ， 令 WE 2 
设 WE=4， 则 有 2。 奋 表示 码 元 的 脉 名 取 4 个 电 平 之 一 ， 则 一 个 码 元 可 表示 两 个 二 进 制 位 。 与 双 
相 人 码 相 反 ， 多 电 平 码 的 数据 速率 大 于 汲 特 率 ， 因 而 可 提高 频 珊 的 利用 率 。 但 是 这 种 代码 的 抗 噪 
声 特性 不 好 ， 在 传输 过 程 中 信和 号 容易 畸变 到 无 法 区 分 。 

在 数据 通信 中 ， 选 择 什 么 样 的 数据 编码 要 根据 传输 的 速度 、 信 道 的 融 宽 、 线 路 的 质量 以 及 
实现 的 价格 等 因素 综合 考虑 。 

快速 以 太 网 标准 100BASE-TX 采用 的 编码 机 制 是 多 电 平 编码 MLI3 。MLTI3 是 
Mnulti-Level Transmit 的 简称 ， 其 中 的 3 表示 这 种 编码 方式 有 3 种 状态 。MLT-3 在 多 种 文献 中 解 
释 为 多 阶 基 融 编码 3 或 者 三 阶 基 市 编码 。 就 三 阶 而 言 ， 信 和 号 通常 区 分 成 三 种 电位 状态 ， 分 别 为 
“ 正 电 位 ”“ 负 电位 ”“ 和 雪 电 位 ”。 

MLT-3 的 编码 机 制 状态 图 如 图 1-5 所 示 ， 有 具体 规则 如 下 : 

(1) 用 不 变化 电位 状态 《〈 即 保持 前 一 位 的 电位 状态 ) 来 表示 二 进 制 0， 即 如 果 下 一 比特 是 0， 
则 输出 值 与 前 面 的 值 相 同 ; 

(2) 用 电位 状态 变化 来 表示 二 进 制 1。 如 果 下 一 比特 是 1， 则 输出 值 就 要 有 一 个 转变 : 如 
果 前 面 输出 的 值 是 +V 或 -V， 则 下 一 输出 为 0， 如 果 前 面 输出 的 值 是 0， 则 下 一 输出 的 值 为 +V 
或 -V， 与 上 一 个 非 0 值 符 号 相反 。 


Next blt: 0 


Next bit: 1 Nextblit: 1 


Last Last 
non-Zzero “non-zero 


局 速 以 大 
原理 如 图 1-6 所 示 。 


S 位 人 码 组 


ii 本 UL 


图 1-6 4B/SB 编码 
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这 实际 上 是 一 种 两 级 编码 方案 。 系 统 中 使 用 不 归 零 码 ， 在 发 送 到 传输 介质 之 前 要 变 成 见 1 
就 翻 不 归 零 码 CNRZ-I) 。NRZ-I 代码 序列 中 1 的 个 数 越 多 ， 越 能 提供 同步 定时 信息 ， 但 如 果 
遇 到 长 串 的 0， 则 不 能 提供 同步 信息 。 所 以 在 发 送 到 介质 之 前 还 需 经 过 一 次 4B/SB 编码 ， 发 送 
器 扫描 要 发 送 的 位 序列 ，4 位 分 为 一 组 ， 然 后 按照 表 1-1 的 对 应 规则 变换 成 5 位 的 代码 。 


表 1-1 4B/SB 编码 规则 


十 六 进 制 数 ”| 4 位 二 进 制 数 十 六 进 制 数 ”| 4 位 二 进 制 数 ”| 4B/5B 编码 


0 | oo | hb | ss | lo | 1on 
L | oo | oo | 9 | ao | io 
2 10110 
3 | oo | lo | Be | nn | anounl 
4 Lo010 
5 | oo | oo | D | no | non 
6 Lo0 
7 Ll0l 


5 位 二 进 制 代码 的 状态 共有 32 种 ， 在 表 1-1 中 选用 的 5 位 代码 中 1 的 个 数 都 不 少 于 两 个 。 
这 就 保证 了 在 介质 上 传输 的 代码 能 提供 足够 多 的 同步 信息 。 另 外 ， 还 有 8B/10B 编码 等 方法 ， 
其 原理 是 类 似 的 。 


11. 8B/6T 编码 


快速 以 太 网 标准 100BASE-T4 采用 的 编码 机 制 是 8B/6T 编码 。8B/AT 的 编码 方式 为 二 进 制 | 
输入 按 8 位 分 组 ， 每 一 个 8 位 组 映 象 为 6 位 三 元 符号 组 ， 如 图 1-7 所 示 。 


过 


00010001 ， 01010011 01010000 


-0-0++ 二 二 二 二 二 二 一 目 生 和 
Inverted pattern 


图 1-7 8B/AT 编码 


12. 4D-PAMIS 编码 


4D-PAM5S 这 种 编码 方式 用 于 1000BASE-T 以 太 网 网 络 。4D 是 指 4 个 码 元 ,定义 为 (An, Bn， 
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Cn，Dn)， 也 就 是 4 维 符号 ， 比 如 说 符号 An 是 比特 00， 符 号 Bn 是 01， 符 号 Cn 是 10， 符 号 
Dn 是 11。PAM5S 的 意思 就 是 4 维 符号 的 电波 形 是 一 维 5$ 进 制 电 平 {2, 1 0,-1, -2} ， 每 根 网 线 
的 其 中 一 个 线 对 的 电 平 有 3 种 ， 多 出 来 的 一 个 电 平 用 于 前 向 纠 错 码 FEC。 

1000BASE-T 以 太 网 网 络 物理 层 上 的 定义 为 : 1000BASE-T 使 用 $ 类 双 绞 线 〈8 根 线 ，4 个 
线 对 ) ， 全 双 工 基 市 传输 。1000BASE-T 的 传输 速率 是 1000 Mb/s， 通 过 4 个 线 对 发 送 和 接收 ， 
每 个 线 对 上 基带 信和 号 的 调制 速率 是 125 Mb/s， 一 个 人 码 元 要 携带 2 个 比特 信息 ， 每 个 线 对 的 传输 
速率 是 230 Mb/s， 具 体 实 现 如 图 1-8 所 示 。 


00011110 1 Gbps 


250 Mbps 


Wire 1 (12$ MBd ) 


250 Mbps 
Wire2 (125 MBd ) 


230 Mbps 
Wire3 (1125 MBd ) 


250Mbps 
Wire4 (1253 MBd ) 


图 1-8 ”4D-PAM5 编码 


1.3.3” 数 宇 调 制 技术 


数字 数据 不 仅 可 以 用 方 波 脉 冲 传 输 ， 也 可 以 用 模拟 信号 传输 。 用 数字 数据 调制 模拟 信和 号 叫 
Was Ai 
闪 调 制 模拟 载波 信号 的 3 个 参数 幅度 、 和 频 
本 示 二 吉 字 二 在 电话 系统 中 焉 是 传输 
这 种 经 过 调制 的 模拟 载波 信号 的 。3 种 基本 模拟 调制 方 
式 如 图 1-9 所 示 。 


1. 幅度 键 控 (ASK ) 


ASK - -1 二 一 


FSK 


按照 这 种 调制 方式 ， 载 波 的 幅度 受到 数字 数据 的 调 
制 而 取 不 同 的 值 。 例 如 ， 对 应 二 进 制 “0”， 载 波 振幅 为 
“0”;， 对 应 二 进 制 “1”， 载 波 振 幅 取 “1”。 调 幅 技 术 虽 
然 实现 起 来 简单 ， 但 抗 干 扰 性 能 较 差 。 


2. 频 移 键 控 (FSK ) 


图 1.9 3 种 调制 方式 “ 


按照 数字 数据 的 值 调制 载波 的 频率 叫 作 频 移 键 控 。 例 如 ， 对 应 二 进 制 “0” 的 载波 频率 为 用， 
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对 应 二 进 制 “1” 的 载波 频率 为 万 。 这 种 调制 技术 的 抗 干扰 性 能 好 ， 但 占用 的 带宽 较 大 。 在 有 些 
低速 调制 解 调 器 中 ， 用 这 种 调制 技术 把 数字 数据 变 成 模拟 音频 信和 号 传送 。 

3. 相 移 键 控 (PSK ) 

用 数字 数据 的 值 调制 载波 相位 ， 这 就 是 相 移 键 控 。 例 如 ， 用 180 相 移 表示 “1”:; 用 0 相 
移 表 示 “0”。 这 种 调制 方式 的 抗 干扰 性 能 好 ， 而 且 相 位 的 变化 也 可 以 作为 定时 信息 来 同步 发 
送 机 和 接收 机 的 时 钟 。 码 元 只 取 两 个 相位 值 叫 2 相 调制 ， 码 元 可 取 4 个 相位 值 叫 4 相 调制 。4 
相 调制 时 ， 一 个 码 元 代表 两 位 二 进 制 数 〈 如 表 1-2 所 示 ) 。 采 用 4 相 或 更 多 相 的 调制 能 提供 较 
高 的 数据 速率 ， 但 实现 技术 更 复杂 。 


表 1-2 4 相 调 制 方案 


可 见 ， 数 字 调 制 的 结果 是 模拟 信和 号 的 茶 个 参量 《幅度 、 频 率 或 相位 ) 取 离 散 值 。 这 些 值 与 
传输 的 数字 数据 是 对 应 的 ， 这 是 数字 调制 与 传统 的 模拟 调制 不 同 的 地 方 。 


4. 正 交 幅度 调制 


正 交 幅度 调制 (Quadrature Amplitude Modulation，QOAM) 就 是 把 两 个 幅度 相同 但 相位 相差 


902 的 模拟 信号 会 成 为 一 个 模拟 信号 。 表 1-3 的 例子 是 把 ASK 和 了 PSK 技术 结合 起 来 ， 形 成 幅度 
相位 复合 调制 ， 这 也 是 一 种 正 交 幅度 调制 技术 。 由 于 形成 了 16 种 不 同 的 码 元 ， 所 以 每 一 个 码 
元 可 以 表示 4 位 二 进 制 数 据 ， 使 得 数据 速率 大 大 提高 。 
表 1-3 幅度 相位 复合 调制 
二 进 制 数 码 元 相位 
0000 2 45。 1000 45。 
0 | 3 | om | | 5 | 
0 | 3 | 9 | ao | 5 | 9 
0100 270* 


ll1 1111 180* 
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1.3.4 脉冲 编码 调制 


模拟 数据 通过 数字 信道 传输 时 效率 高 、 失 真 小 ， 而 且 可 以 开发 新 的 通信 业务 。 例 如 ， 在 数 
字 电 话 系统 中 可 以 提供 语音 信箱 功能 。 把 模拟 数据 转化 成 数字 信号， 要 使 用 叫 作 编码 解码 喜 
(CCodec) 的 设备 。 这 种 设备 的 作用 和 调制 解 调 器 的 作用 相反 ， 它 是 把 模拟 数据 《〈 例 如 声音 、 图 
像 等 ) 变换 成 数字 信和 号， 经 传输 到 达 接 收 端 ， 再 解码 还 原 为 模拟 数据 。 用 编码 解码 堪 把 模拟 数 
据 变换 为 数字 信和 号 的 过 程 叫 模拟 数据 的 数字 化 。 常 用 的 数字 化 技术 就 是 脉冲 编码 调制 技术 
(Pulse Code Modulation，PCM) ， 人 简称 脉 码 调制 。 


1. 采样 


每 隔 一 定 的 时 间 ， 取 模拟 信和 号 的 当前 值 作 为 样本 ， 该 样本 代表 了 模拟 信号 在 某 一 时 刻 的 瞬 
时 值 。 一 系列 连续 的 样本 可 用 来 代表 模拟 信号 在 某 一 区 间 随 时 间 变 化 的 值 。 以 什么 样 的 频率 取 
样 ， 才 能 得 到 近似 于 原 信 和 号 的 样本 空间 呢 ? 奈 奎 斯 特 取样 定理 告诉 我 们 : 如 果 取 样 速率 大 于 模 
拟 信 和 号 最 高 频率 的 两 倍 ， 则 可 以 用 得 到 的 样本 空间 恢复 原来 的 模拟 信号 ， 即 

/= 了 > FA 

其 中 ，7 太 为 取样 频率 ，7 为 取样 周期 ， 廊 。 为 信号 的 最 高 频率 。 

2. 量化 

取样 后 得 到 的 样本 是 连续 值 ， 这 些 样 本 必须 量化 为 离散 值 ， 离 散 值 的 个 数 决 定 了 量化 的 精 
度 。 在 图 1-10 中 ,把 量化 的 等 级 分 为 16 级 ,用 0000~1111 这 16 个 二 进 制 数 分 别 代 表 0.1 一 1.6 
这 16 个 不 同 的 电 平 幅度 。 


呈 一 一 一 二 一 一 一 
rm 一 《人 (~ 让 一 (LOL 


图 1-10 ”脉冲 编码 调制 


3.， 编码 


把 量化 后 的 样本 值 变 成 相应 的 二 进 制 代码 ， 可 以 得 到 相应 的 二 进 制 代码 序列 ， 其 中 每 个 二 
进 制 代 码 都 可 用 一 个 脉冲 串 〈4 位 ) 来 表示 ， 这 4 位 一 组 的 脉冲 序列 就 代表 了 经 PCM 编码 的 模 
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拟 信和 号。 

由 上 述 脉 码 调制 的 原理 可 以 看 出 ， 取 样 的 速率 是 由 模拟 信号 的 最 高 频率 决定 的 ， 而 量化 级 
的 多 少 则 决定 了 取样 的 精度 。 在 实际 使 用 中 ， 和 希望 取样 的 速率 不 要 太 高 ， 以 免 编 码 解 码 器 的 工 
作 频 率 太 快 ， 也 希望 量化 的 等 级 不 要 太 多 ， 能 满足 需要 即 可 ， 以 免得 到 的 数据 量 太 大 ， 所 以 这 
些 参数 都 取 下 限 值 。 例 如 ， 对 声音 信号 数字 化 时 ， 由 于 话音 的 最 高 频率 是 4kHz， 所 以 取样 速率 
是 8kHz。 对 话音 样本 用 128 个 等 级 量化 ,因而 每 个 样本 用 7 位 二 进 制 数 字 表 示 。 在 数字 信道 上 
传输 这 种 数字 化 了 的 话音 信号 的 速率 是 7x8000=56kbps。 如 果 对 电视 信号 数字 化 ， 由 于 视频 信 
号 的 珊 宽 更 大 (6MHz) ， 取 样 速 率 殉 要求 更 高 ， 假 若 量化 等 级 更 多 ， 对 数据 速率 的 要 求 也 就 
更 高 了 。 


1.3.5 ”通信 方式 和 交换 方式 


1. 同步 传输 与 异步 传输 


在 通信 过 程 中 ， 发 送 方 和 接收 方 必 须 在 时 间 上 保持 同步 才能 准确 地 传送 信息 。 前 面 曾 提 到 
过 信号 编码 的 同步 作用 ， 叫 码 元 同步 。 另 外 ， 在 传送 由 多 个 码 元 组 成 的 字符 以 及 由 许多 字符 组 
成 的 数据 块 时 ， 通 信 双 方 也 要 就 信息 的 起 止 时 间 取 得 一 致 。 这 种 同步 作用 有 两 种 不 同 的 方式 ， 
因而 对 应 了 两 种 不 同 的 传输 方式 。 

(1) 异步 传输 。 即 把 各 个 字符 分 开 传输 ， 字 符 之 间 插入 同步 信息 。 这 种 方式 也 叫 起 止 式 ， 
即 在 字符 的 前 后 分 别 插入 起 始 位 (“0”) 和 停止 位 (“1”) ， 如 图 1-11 所 示 。 起 始 位 对 接收 
方 的 时 钟 起 置 位 作用 。 接 收 方 时 钟 置 位 后 只 要 在 8 一 11 位 的 传送 时 间 内 准确 ， 就 能 正确 接收 一 
个 字符 。 最 后 的 停止 位 告诉 接收 方 该 字符 传送 结束 ， 然 后 接收 方 就 可 以 检测 后 续 字符 的 起 始 位 
了 。 当 没有 字符 传送 时 ， 连 续 传送 停止 位 。 

1 位 7 位 1 位 1 位 
起 始 位 | 字 符 | 校 验 位 | 停 上 位 


图 1-11 异步 传输 


加 入 校 验 位 的 目的 是 检查 传输 中 的 错误 ， 一 般 使 用 奇偶 校 验 。 异 步 传输 的 优点 是 和 傈 单 ， 但 
是 由 于 起 止 位 和 检验 位 的 加 入 会 引入 20% 一 30% 的 开销 ， 传 输 的 速率 也 不 会 很 高 。 

(2) 同步 传输 。 开 步 传 输 不 适合 于 传送 大 的 数据 块 〈 例 如 磁盘 文件 ) ， 同 步 传输 在 传送 连 
续 的 数据 块 时 比 异 步 传输 更 有 效 。 按 照 这 种 方式 ， 发 送 方 在 发 送 数据 之 前 先 发 送 一 串 同步 字符 
SYNC， 接 收 方 只 要 检测 到 连续 两 个 以 上 SYNC 字符 就 确认 已 进入 同步 状态 ， 准 备 接收 信息 。 
随后 的 传送 过 程 中 ， 双 方 以 同一 频率 工作 《信号 编码 的 定时 作用 也 表现 在 这 里 ) ， 直 到 传送 完 
指示 数据 结束 的 控制 字符 。 这 种 同步 方式 仅 在 数据 块 的 前 后 加 入 控制 字符 SYNC， 所 以 效率 更 
高 。 在 短 距 离 高 速 数 据 传 输 中 ， 多 采用 同步 传输 方式 。 
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2. 交换 方式 


一 个 通信 网 络 由 许多 交换 节点 互 连 而 成 。 信 息 在 这 样 的 网 络 中 传输 就 像 火 车 在 铁路 网 络 中 
运行 一 一 Rs 后 所 oo 最 后 才能 到 达 目 的 


式 。 re 条 临时 通路 供 两 冰 省 的 用 户 通话 ， 这 条 价 时 通路 
可 能 要 经 过 若干 个 交换 机 的 转 接 ， 并 且 一 旦 建立 连接 就 成 为 这 一 对 用 户 之 间 的 临时 专用 通路 ， 
其 他 用 户 不 能 打 断 ， 直 到 通话 结束 才 拆 除 连 接 。 


HI 吕 入 可 全 他 一 一 、 六 “ 三 下 AAA 记 汪 7 时 一 ~ \ 届 口 友 加 

由 路 交换 的 特点 是 建立 连接 需要 等 待 较 长 的 时 间 。 由 于 连接 建立 后 通路 是 专用 的 ， 因 而 不 

所 图 忆 AAA A 本 人 于 全 避 [上 全 < 二 
会 有 其 他 用 户 的 二 所 \ 肌 有 有 等待 息 迟 。 这 种 交换 方 百合 午 -大 量 凡 1 数 撕 秆 /和 作 量 信 局 
时 效率 不 高 。 

中 s 再 \ 译 一 3 证 昌 “对 学 DO E- 首 三 
报 文 交换 不 要 求 在 两 个 通信 节点 之 间 建 立 专 用 通路 。 节 点 把 要 故 送 的 信息 组 织 成 一 个 数据 
权 这 议 报 文中 含有 目标 苞 点 的 地 址 ， 完 整 的 报 文 在 网 络 中 一 站 一 站 地 回 亲 传送 。 每 一 


个 布点 接收 整个 报 文 ， 检 查 目 标 节 点 地 址 ， 然 后 根据 网 络 中 的 “交通 情况 ”在 适当 的 时 候 转发 
到 下 一 个 节点 。 经 过 多 次 存储 一 转发 ， 最 后 到 达 目 标 节 点 ， we 


ee CDaagmmny ， = ell 

(1) 数据 报 。 类 似 王 报 文 交换 ， 每 个 分 组 在 网 络 中 的 传播 路 径 完 全 是 由 网 络 当 时 的 状况 隧 
六 注定 的 。 因 为 每 个 分 组 都 有 完整 的 地 址 信息 ， 如 条 不 出 意外 都 可 以 到 达 目 的 地 。 但 是 ， 到 达 
目的 地 的 顺序 可 能 和 发 送 的 顺序 不 一 致 。 有 些 早 发 的 分 组 可 能 在 中 间 某 段 交 通 拥挤 的 链 路 上 耽 
搁 了 ， 比 后 发 的 分 组 到 得 迟 ， 目 标 主机 必须 对 收 到 的 分 组 重新 排序 才能 恢复 原来 的 信息 。 一 般 
来 说 ， 在 发 送 端 要 有 一 个 设备 对 信息 进行 分 组 和 编号 ， 在 接收 端 也 要 有 一 个 设备 对 收 到 的 分 组 
拆 去 头 、 尾 并 重 排 顺 序 ， 具 有 这 些 功 能 的 设备 叫 分 组 装 拆 设备 〈Packet Assembly/ Disassembly， 
人 

(2) 虚 电 路 。 类 化 昌 路 交换 ， 这 种 方式 要 此 送 端 和 接收 端 之 间 建 立 一 条 逻辑 连接 。 
在 会 话 开 始 时 ， 发 送 端 先 发 送 建立 连接 的 请 求 消 息 ， 这 个 请 求 消 息 在 网 络 中 传播 途中 的 各 个 
交换 节点 根据 当时 的 交通 状况 决定 取 哪 条 线路 来 响应 这 一 请 求 ， 最 后 到 达 目 的 端 。 如 果 目 的 端 
给 予 肯 定 的 回答 ， 则 逻辑 连接 就 建立 了 。 以 后 发 送 端 发 出 的 一 系列 分 组 都 走 这 一 条 通路 ， 直 到 


会 话 结 束 ， 拆 除 连 接 。 与 电路 交换 不 同 的 是 ， 逻 辑 连 接 的 建立 并 不 意味 着 其 人 通信 不 能 使 用 这 
ee 怀 二 放生 扯 
1.3.6 ”多 路 复 用 技术 


这 种 技术 要 用 到 两 个 设备 ， 
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Re 站 本 Wi 多 路 复 用 的 图 1-12 多 路 复 用 
过 程 如 图 1-12 所 示 。 
只 要 带宽 允许 ， 在 已 有 的 高 速 线路 上 采用 多 路 复 用 技术 可 以 省 去 安 匀 新 线路 的 大 笔 费用 ， 
因而 现今 的 公共 交换 电话 网 (PSTN) 都 使 用 这 种 技术 ， 有 效 地 利用 了 高 速 干 线 的 通信 能 
当然 ， 也 可 以 相反 地 使 用 多 路 复 用 技术 ， 即 把 一 个 高 带宽 的 信号 分 解 到 几 个 低速 线路 上 同 
时 传输 ， 然 后 在 接收 端 合 成 为 原来 的 高 带宽 信号 。 例 如 ， 两 个 主机 可 以 通过 若干 条 低速 线路 连 
接 ， 以 满足 主机 间 高 速 通信 的 要 求 。 


1. 频 分 多 路 复 用 


频 分 多 路 复 用 (Frequency Division Multiplexing，FDM) 是 在 一 条 传输 介质 上 使 用 多 个 频 
率 不 同 的 模拟 载波 信号 进行 多 路 传输 ,这些 载波 可 以 进行 任何 方式 的 调制 , 如 ASK、FSK、PSK 
以 及 它们 的 组 合 。 每 一 个 载波 信号 形成 了 一 个 子 信 道 ， 各 个 子 信道 的 中 心 频 率 不 相 重 合 ， 子 信 
道 之 间 留 有 一 定 宽度 的 隔离 频带 ， 如 图 1-13 所 示 。 


图 1-13 ” 频 分 多 路 复 用 


频 分 多 路 技术 早已 用 在 无 线 电 广播 系统 中 ， 在 有 线 电视 系统 〈CAIV) 中 也 使 用 频 分 多 路 
技术 。 一 根 CATV 电缆 的 带宽 大 约 是 1000MHz, 可 传送 多 个 频道 的 电视 节目 , 每 个 频道 6.53MHz 
的 带宽 中 又 划分 为 声音 子 通道 、 视 频 子 通道 以 及 彩色 子 通道 。 每 个 频道 两 边 都 留 有 一 定 的 警戒 
频 市 ， 防 止 相互 串扰 。 

FDM 也 用 在 宽带 局 域 风 中。 电线 带宽 至 少 要 划分 为 不 同方 癌 上 的 两 个 子 频带 ， 甚 全 还 可 
以 分 出 一 定 带宽 用 于 茶 些 工作 站 之 间 的 专用 连接 。 


2. 时 分 多 路 复 用 
时 分 多 路 复 用 〈Time Division Multiplexing，TDM) 要 求 各 个 子 通道 按 时 间 片 轮流 地 占用 
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整个 带宽 ， 如 图 1-14 所 示 。 时 间 片 的 大 小 可 以 按 一 次 传送 一 位 、 一 个 字 节 或 一 个 固定 大 小 的 数 
据 块 所 需 的 时 间 来 确定 。 


用 1 。 上 和 [分 镭 | 控 有 照 
通道 出动 态 利用 情况 又 可 分 为 两 种 ， 有 时 分 和 统计 时 分 。 在 同步 时 分 制 下 ， 整 个 传输 时 间 
被 划分 为 男 定 入 小 的 汪 期 。 每 个 周期 内 ， 各 子 通道 都 在 固定 位 置 占 有 一 个 时 槽 。 这 样 ， 在 接收 

痕 可 以 按 约定 的 时 间 关 系 恢 复 各 子 通道 的 信息 流 。 当 茶 个 子 通道 的 时 醒 来 到 时 ， 如 果 没 有 信息 
要 传送 ， 这 一 部 分 带宽 就 当 费 了 。 统 计时 分 制 是 对 同步 时 分 制 的 改进 ， 特 别 把 统计 时 分 制 下 的 
多 路 复 用 器 称 为 集中 器 ， 以 强调 它 的 工作 特点 。 在 发 送 端 ， 集 中 器 依次 循环 扫 摘 各 个 子 通道 ， 
右 茶 个 子 通道 有 信息 要 友 送 , 则 为 它 分 配 一 个 时 槽 ， 大 没有 就 跳 过 ， 这 样 承 没有 空 槽 在 线路 上 传 
播 了 。 然 而 ， 需 要 在 每 个 时 模 加 入 一 个 控制 字段 ， 以 便 接 收 闯 可 以 确定 该 时 槽 是 属于 哪个 子 通 
道 的 。 


3. 波 分 多 路 复 用 


波 分 多 路 复 用 (Wave length Division Multiplexing，WDM) 使 用 在 光纤 通信 中 ， 不 同 的 子 
信道 用 不 同 波长 的 光波 承载 ， 多 路 复 用 信道 同时 传送 所 有 子 信道 的 波长 。 这 种 技术 在 网 络 中 要 
使 用 能 够 对 光波 进行 分 解 和 合成 的 多 路 器 ， 如 图 1-15 所 示 。 


4=153Snm 4 =153Snm 


发 送 需 多 路 需 多 路 需 发 送 需 
图 1-15 ” 肖 分 多 路 复 用 
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1.3.7“ 扩 频 技术 
Was ， 人 往往 需要 从 调制 和 编码 多 方面 入 手 ， 改 进 通信 质量 ， 扩 - 
de 六 频 通 信 利 用 了 扩展 频谱 技术 净 收 端 对 于 扰 频 谱 能 量 加 以 扩 静 


ie Rise 人 (或 信息 比特 率 ) ， 
与 原始 信号 带宽 无 关 。 通 遂 规定 : 如 果 信 息 带 宽 为 ， 扩 频 信号 带宽 为 大， 则 扩 自 由 
信 ep /8 ee 


扩 拓 通信 么 统 可 以 分 为 以 下 几 种 基本 形式 . 
1. 直接 序列 扩 频 


直接 序列 扩 频 (Direct Sequence Spread，DSSS ) 方式 中 ， 要 传送 的 信息 经 伪 随 机 序列 编码 
后 对 载波 进行 调制 。 在 发 送 闯 直 接 用 扩 频 人 码 序 列 去 扩展 信号 的 频谱 ， 在 接收 端 ， 用 相同 的 扩 频 
码 序列 进行 解 扩 ， 将 展 宽 的 频谱 扩展 信号 还 原 成 原始 信号 ， 如 图 1-16 和 1-17 所 示 。 因 为 伪 随 
机 序列 的 速率 远大 于 要 传送 信息 的 速率 ， 所 以 受 调 信 号 的 频谱 宽度 将 远大 于 要 传送 信息 的 频谱 
宽度 。 


S(u，t) 


滤波 器 


2. 跳 频 


踢 频 (Frequency Hopping，EFH) 方式 中 ， 裁 波 
和 速 地 在 一 个 


言 号 频率 受 伪 随 机 序列 的 控制 ， 快 
提 所 占 的 频谱 宽度 ,如 图 1-18 所 示 。 


站 站 -十 人 一 区 = 口 N 
ES ER。 是 AR 由 1 区 光大 革 大 
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只 要 收 、 发 信 双 方 保 证 时 - 频 域 上 的 调频 顺序 一 致 ， 就 能 确保 双方 的 可 靠 通 信 。 在 每 一 个 跳 频 时 
间 的 瞬时 ， 用 户 所 占用 的 信道 带宽 是 罕 带 频谱 ， 随 着 时 间 的 变换 ， 一 系列 的 瞬时 罕 带 频谱 在 一 
个 很 宽 的 频带 内 跳 变 ， 形 成 一 个 很 宽 的 调频 带宽 。 


发 送 方 接收 方 
图 1-18 ” 跳 频 系统 原理 图 


3. 跳 时 


在 跳 时 〈Time Hopping，TH) 方式 中 ， 把 每 个 信息 码 元 划分 成 在 干 个 时 际 ， 此 信息 受 伪 随 
机 序列 的 控制 ， 以 突 发 的 方式 随机 地 占用 其 中 一 个 时 隐 进 行 传输 。 因 为 信号 在 时 域 中 压缩 其 传 
和 输 时 间 ， 相 应 地 在 频 域 中 要 扩展 其 频谱 宽度 。 


4. 线性 调频 扩 频 

线性 调频 扩 频 (Chirp Spread Spectrum，CSS) 是 指 在 给 定 脉冲 持续 间隔 内 ， 系 统 的 载 频 线 
性 地 扫 过 一 个 很 宽 的 频带 。 因 为 频率 在 较 宽 的 频带 内 变化 ， 所 以 信号 的 带宽 被 展 宽 。 
1.3.8 ”差错 控制 


JI 


吕 昌 由 的 差错 可 大 致 分 为 两 类 一 类 是 由 热 噪 声 引 起 有 的 随机 钳 误 ，， 另 一 类 是 由 溃 


通信 线路 中 的 热 噪声 是 由 电子 的 热 运 动产 生 的 ,香农 关于 噪声 信道 传输 速率 的 结论 台 是 针 
对 这 种 噪声 的 。 热 噪声 时 刻 存 在 ， 具 有 很 宽 的 频谱 ， 且 幅度 较 小 。 通 信 线 路 的 信 噪 比 越 高 ， 热 
噪声 引起 的 差错 越 少 。 这 种 差错 具有 随机 性 ， 影 响 个 别 位 。 冲 击 噪声 源 是 外 界 的 电磁 干扰 。 例 
如 , 打雷 内 电 时 产生 的 电磁 和 干扰， 电焊 机 引起 的 电压 波动 等 。 剖 击 噪声 持续 的 时 间 短 而 幅度 大 ， 
往往 引起 一 个 位 串 出 错 。 根 据 它 的 特点 ， 称 其 为 突 发 性 差错 。 

此 外 ， 由 于 信和 号 幅度 和 传播 速率 与 相位 、 频 率 有 关 而 引起 的 信号 失真 ， 以 及 相 邻 线路 之 间 
发 生 串 音 等 都 会 产生 差错 ， 这 些 差错 也 具有 突 发 性 的 特点 。 


1. 检 错 与 纠 错 
在 数据 传输 过 程 中 ， 由 于 信道 受到 噪声 或 干扰 的 影响 ， 信 和 号 的 波形 传 到 接收 方 就 可 能 会 友 


生 错 误 。 为 了 把 这 些 错误 减少 到 人 们 预期 要 求 的 最 低 限度 ， 就 需要 进行 差错 控制 。 
差错 控制 的 原理 很 简单 。 在 被 传送 的 在 位 信息 后 附加 位 元 余 位 ,被 传送 的 数据 共 人 fr 位 ， 
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而 这 位 元 余 位 是 用 某 种 明确 定义 的 算法 直接 从 大 位 信息 导出 的 ， 接 收 方 对 收 到 的 信息 应 用 同 
一 算法 ， 性 全 它 的 结果 进行 比较 ， 证 不 相 寺 则 数据 出 现 了 卷 销 。 如 要 接 收 方 知 道 


有 套红 个 加 诅 是 人 H 丘 关 年 人 后 回 必 这 万 语 求 文 种 策略 称 为 检 钳 。 如 果 接 收 


2. 海 明 码 


1950 年 ， 海 明 (Hamming) 研究 了 用 元 余数 据 位 来 检测 和 纠正 代码 差错 的 理论 和 方法 。 按 
照 海 明 的 理论 ， 可 以 在 数据 代码 上 添加 若干 元 余 位 组 成 码 字 。 码 字 之 间 的 海 明 距 离 是 一 个 码 字 
要 变 成 另 一 个 码 字 时 必须 改变 的 最 小 位 数 。 例 如 ，7 位 ASCII 码 增 加 一 位 奇偶 位 成 为 8 位 的 码 
字 ， 这 128 个 8 位 的 码 字 之 间 的 海 明 距 离 是 2。 所 以 ， 当 其 中 一 位 出 错时 便 能 检测 出 来 。 两 位 
出 错时 就 变 成 另外 一 个 码 字 了 。 

海 明 用 数学 分 析 的 方法 说 明了 海 明 距 离 的 几何 意义 , 寻 位 的 码 字 可 以 用 宗 维 空间 的 超 立 
方 体 的 一 个 顶点 来 表示 。 两 个 码 字 之 间 的 海 明 距 离 就 是 超 立 方 体 的 两 个 对 应 顶点 之 间 的 一 条 
边 ， 而 且 这 是 两 个 顶点 《两 个 码 字 ) 之 间 的 最 短 距离 ， 出 错 的 位 数 小 于 这 个 距离 都 可 以 被 判 
断 为 就 近 的 码 字 。 这 就 是 海 明 码 纠 错 的 原理 ， 它 用 码 位 的 增加 《〈 因 而 通信 量 增加 ) 来 换取 正 
确 率 的 提高 。 

按照 海 明 的 理论 , 纠 错 人 码 的 编码 就 是 要 把 所 有 合法 的 码 字 尽量 安排 在 2 维 超 立方 体 的 顶点 
上 ， 使 得 任意 一 对 人 码 字 之 间 的 距离 尽 可 能 大 。 如 果 任 意 两 个 码 字 之 间 的 海 明 距 离 是 dg， 则 所 有 
小 于 等 于 人 居 1 位 的 错误 都 可 以 检查 出 来 ， 所 有 小 于 dl2 位 的 错误 都 可 以 纠正 。 一 个 自然 的 推论 
是 ， 对 于 某 种 长 度 的 错误 串 ， 要 纠正 它 就 要 用 比 仅仅 检测 它 多 一 倍 的 元 余 位 。 

如 果 对 于 闵 位 的 数据 增加 天 位 元 余 位 ， 则 组 成 二 m+KF 位 的 纠 错 码 。 对 于 2 个 有 效 码 字 中 
的 每 一 个 ， 都 有 个 无 效 但 可 以 纠 错 的 码 字 。 这 些 可 纠 错 的 码 字 与 有 效 码 字 的 距离 是 1， 含 单 
个 错误 位 。 这 样 ， 对 于 一 个 有 效 的 消息 总 共有 x+1 个 可 识别 的 码 字 。 这 对 1 个 码 字 相对 于 其 他 
271-]1 个 有 效 消息 的 距离 都 大 于 1。 这 意味 着 总 共有 27zza (2+1) 个 有 效 的 或 者 可 纠 错 的 码 字 。 显然， 
这 个 数 应 受 码 字 的 所 有 可 能 的 个 数 ， 即 22。 于 是 ， 有 

27(pz+H) 委 27 

因为 zz+Kk， 得 出 

1 二 人 + 入 2 

对 于 给 定 的 数据 位 阅 ， 上 式 给 出 了 大 的 下 界 ， 即 要 纠正 单个 错误 , 天 必须 取 的 最 小 值 。 海 
明 建 议 了 一 种 方案 可 以 达到 这 个 下 界 ， 并 能 直接 指出 错 在 哪 一 位 。 首 先 把 码 字 的 位 从 1 到 半 编 
号 ， 并 把 这 个 编号 表示 成 二 进 制 数 ， 即 2 的 蝴 之 和 。 然 后 对 2 的 每 一 个 蝴 设 置 一 个 奇偶 位 。 例 
如 ， 对 于 6 号 位 ， 由 于 6=110 (二 进 制 ) ， 所 以 6 号 位 参加 第 2 位 和 第 4 位 的 奇偶 校 验 ， 而 不 
参加 第 1 位 的 奇偶 校 验 。 类 似 地 ，9 号 位 参加 第 1 位 和 第 8 位 的 校 验 而 不 参加 第 2 位 或 第 4 位 
的 校 验 。 海 明 把 奇偶 校 验 分 配 在 1、2、4、8 等 位 置 上 ， 其 他 位 放置 数据 。 下 面 根 据 图 1-19 举 
例 说 明 编 码 的 方法 。 
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校 验 位 

8 42 1 

3 | 0 0 1 

5 | 01 1 
数 6|01 0 
交 ? 0 1 1 
9 | 1 0 1 
I10|10410 
Il | 1 1 


图 1-19 海 明 编 码 的 例子 
假设 传送 的 信息 为 1001011， 把 各 个 数据 放 在 3、S$、6、7、9、10、11 等 位 置 上 ，1、2、4、 
8 位 留 做 校 验 位 。 


9 


] ] 
] 了 3 十 3 0 7 8 全 10 11 


根据 图 1-19，3、5、7、9、11 的 二 进 制 编码 的 第 一 位 为 1， 所 以 3、3$、7、9、11 号 位 参 
加 第 1 位 校 验 ， 大 按 偶 校 验 计 算 ，1 号 位 应 为 1。 


碌 莆 本 唔 下 汤加 果 本 沽 枢 着 隐 芭 加 本 本 项 芽 本 医 呈 
] 2 3 4 号 0 骨 8 9 10 11 
类 似 地 ，3、6、7、10、11 号 位 参加 2 位 校 验 ，$、6、7 号 位 参加 4 位 校 验 ，9、10 和 11 
号 位 参加 8 位 校 验 ， 全 部 按 偶 校 验 计算 ， 最 终 得 到 : 
| 0019oo oa 
] 3 4 3 0 7 8 9 10 1]11 
如 果 这 个 码 字 传输 中 出 错 ， 比 如 说 6 号 位 出 错 ， 即 变 成 : 
| 


x x | 
0911 9 Toe ea 
] 了 十 3 0 蝇 8 9 10 11 

当 接收 端 按 照 同样 的 规则 计算 奇偶 位 时 ， 发 现 1 和 8 号 位 的 奇偶 性 正确 ，2 和 4 号 位 的 奇 
偶 性 不 对 ， 于 是 2+4= 6， 立 即 可 确认 错 在 6 号 位 。 

在 上 例 中 ， 姑 4， 因 而 m<2 和 4- 11， 即 数据 位 可 用 到 11 位 ， 共 组 成 15 位 的 码 字 ， 可 检 
测 出 单个 位 的 错误 。 
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3. 循环 元 余 校 验 码 


循环 码 是 这 样 一 组 代码 ,其 中 任 一 有 效 码 字 经 过 循环 移 位 后 得 到 的 码 字 仍然 是 有 效 码 字 ， 不 
论 是 右 移 或 左 移 , 也 不 论 移 多 少 位 。 例 如 , 耕 (aia, 2?..aiao) 是 有 效 码 字 , 则 (aa 3 .ao ah 1) ， 
(an 3 0 4...0_10n2) 等 都 是 有 效 码 字 。 循 环 了 见 余 校 验 码 〈Cyclic Redundancy Check，CRC) 是 一 
种 循环 码 ， 它 有 很 强 的 检 错 能 力 ， 而 且 容 易 用 硬件 实现 ， 在 局 域 网 中 有 广泛 应 用 。 

首先 介绍 CRC 怎样 实现 ， 然 后 对 它 进 行 一 些 数 学 分 析 ， 最 后 说 明 CRC 的 检 错 能 力 。CRC 
可 以 用 图 1-20 所 示 的 移 位 寄存 器 实现 。 移 位 寄存 器 由 大 位 组 成 ,还 有 几 个 异 或 门 和 一 条 反馈 回 
路 。 图 1-20 所 示 的 移 位 寄存 器 可 以 按 CRC-CCITT 标准 生成 16 位 的 校 验 和 。 寄 存 器 被 初始 化 
为 0， 数 据 从 右 同 左 逐 位 输入 。 当 一 位 从 最 左边 移出 寄存 器 时 就 通过 反馈 回路 进入 异 或 门 和 后 
续 进 来 的 位 以 及 左 移 的 位 进行 异 或 运算 。 当 所 有 六 位 数据 从 右边 输入 完 后 再 输入 K 个 0〈 本 例 
中 庆 16) 。 最 后 ， 当 这 一 过 程 结 束 时 ， 移 位 寄存 器 中 就 形成 了 校 验 和 。K 位 的 校 验 和 跟 在 数据 
位 后 边 发 送 ， 接 收 端 可 以 按 同 样 的 过 程 计 算 校 验 和 并 与 接收 到 的 校 验 和 比较 ， 以 检测 传输 中 的 
差错 。 


图 1-20 CRC 的 实现 


以 上 描述 的 计算 校 验 和 方法 可 以 用 一 种 特殊 的 多 项 式 除 法 进行 分 析 。m 个 数据 位 可 以 看 作 
1pi-l 阶 多 项 式 的 系数 。 例 如 ， 数 据 码 字 00101011 可 以 组 成 的 多 项 式 是 +c+x+l。 1-20 中 表 
示 的 反馈 回路 可 表示 成 另外 一 个 多 项 式 志 +xz He+l1， 这 就 是 所 谓 的 生成 多 项 式 。 所 有 的 运算 都 
按 模 2 进行 ， 即 
1X 人 xc=0xX，0x 和 HTX=1，1xX 人 HH0X 1，0xX 人 0X 0 ， 一 1 一 1 
显然 ， 在 这 种 代数 系统 中 ， 加 法 和 减法 一 样 ， 都 是 异 或 运算 。 用 x 乘 一 个 多 项 式 等 于 把 多 
项 式 的 系数 左 移 一 位 。 可 以 看 出 ， 按 图 1-20 的 反馈 回路 把 一 个 同 左 移出 寄存 喜 的 数据 位 反馈 回 
去 与 寄存 器 中 的 数据 进行 异 或 运算 ， 等 同 于 在 数据 多 项 式 上 加 上 生成 多 项 式 ， 因 而 也 等 同 于 从 
数据 多 项 式 中 减 去 生成 多 项 式 。 以 上 给 出 的 例子 ， 对 应 于 下 面 的 长 除法 : 
0010 1011 0000 0000 0000 0000 
-- 10 0010 0000 0100 001 
00 1001 0000 0100 0010 0000 
一 1000 1000 0001 0000 1 
0001 1000 0101 0010 1000 
一 1 0001 0000 0010 0001 
0 1001 0101 0000 1001《〈 余 数 ) 
得 到 的 校 验 和 是 9309H。 于 是 看 到 , 移 位 寄存 器 中 的 过 程 和 以 上 长 除法 在 原理 上 是 相同 的 ， 
因而 可 以 用 多 项 式 理论 来 分 析 CRC 代码 ， 这 就 使 得 这 种 检 错 人 码 有 了 严格 的 数学 基础 。 
把 数据 码 字 形成 的 多 项 式 叫 作 数据 多 项 式 DO)， 按 照 一 定 的 要 求 可 给 出 生成 多 项 式 GOD)。 用 
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GO0 除 入 DGOoD) 可 得 到 商 多 项 式 CO00 和 余 多 项 式 Ro0， 实 际 传送 的 码 字 多 项 式 是 
FOoO)= 太 DOO+ ROo) 

由 于 使 用 了 模 2 算术 ，+RCO= -R CO0)， 于 是 接收 端 对 Fo 计算 的 校 验 和 应 为 0。 如果 有 差错 ， 

则 接收 到 的 码 字 多 项 式 包 含 茶 些 出 错位 忌 ， 可 表示 成 
记 OO= FooD)+ Oo) 

由 于 Fo 可 以 被 CC 整除， 如 果 豆 o0) 不 能 被 CoO 整 除 ， 则 说 明 ECooOzx0， 即 有 错误 出 现 。 然 
而 ， 者 Eo) 也 能 被 CO 整除 ， 则 有 差错 而 检测 不 到 。 

数学 分 析 表 明 ，CGGCo) 应 该 有 某 些 傈 单 的 特性 ， 才 能 检测 出 各 种 错误 。 例 如 ， 若 CO) 包含 的 
项 数 大 于 1， 则 可 以 检测 单个 错 ; 若 CGO) 含有 因子 xz+1， 则 可 检测 出 所 有 奇数 个 错 。 最 后 得 出 
的 最 重要 的 结论 是 : 具有 7 个 校 验 位 的 多 项 式 能 检测 出 所 有 长 度 小 于 等 于 的 突 发 性 差错 。 

为 了 能 对 不 同 场合 下 的 各 种 错误 模式 进行 校 验 ， 已 经 研究 出 了 几 种 CRC 生成 多 项 式 的 国 


际 标 准 。 
CRC-CCITT “GOD)=x1 2 +x 一 +x> 十 | 
CRC-16 GOD)=xY +x +X 十 ] 
CRC-12 GOD)=x HKDLHX3HX HHX 二 1 
CRC-32 CGO)=X XXX HL6HXI2HXTLHXIOHXSHX THX5HX4HXC2HX 二 1 
其 中 ，CRC-32 被 用 在 许多 局 域 网 中 。 
1.4 局域网 


1.4.1 HDLC 协议 


HDLC(High Level Data Link Control, 高 级 数据 链 路 控制 ) 协 议 是 国际 标准 化 组 织 根据 IJBM 
公司 的 SDLC (Synchronous Data Link Control， 同 步 数 据 链 路 控制 ) 协议 扩充 开发 而 成 的 。 美 
国 国家 标准 学 会 (ANSI) 则 根据 SDLC 开发 出 类 似 的 协议 ， 叫 作 ADCCP 协议 〈Advanced Data 
Communication Control Procedure， 高 级 数据 通信 控制 协议 ) 。 


1. HDLC 的 基本 配置 


HDLC 定义 了 3 种 类 型 的 站 、 两 种 链 路 配置 和 3 种 数据 传输 方式 。3 种 站 分 别 如 下 : 

(1) 主 站 。 对 链 路 进行 控制 ， 主 站 发 出 的 帧 叫 命令 帧 。 

(2) 从 站 。 在 主 站 控制 下 进行 操作 ， 从 站 发 出 的 帧 叫 响应 帧 。 

(3) 复合 站 。 上 有 具有 主 站 和 从 站 的 双重 功能 。 复 合 站 既 可 以 发 送 命令 帧 也 可 以 发 出 响应 帧 。 

两 种 链 路 配置 如 下 : 

(1 ) 不 平衡 配置 。 适 用 于 点 对 点 和 点 对 多 点 链 路 。 这 种 链 路 由 一 个 主 站 和 一 个 或 多 个 从 站 
组 成 ， 支 持 全 双 工 或 半 双 工 传输 。 

42) 平衡 配置 。 仅 用 于 点 对 点 链 路 。 这 种 配置 由 两 个 复合 站 组 成 ， 支 持 全 双 工 或 半 双 工 
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传输 。 

3 种 数据 传输 方式 如 下 : 

(1) 正常 响应 方式 (Normal Response Mode，NRM) 。 适 用 于 不 平衡 配置 ， 只 有 主 站 能 启 
动 数据 传输 过 程 ， 从 站 收 到 主 站 的 询问 命令 时 才能 发 送 数据 。 

(2) 异步 平衡 方式 (Asynchronous Balanced Mode，ABM) 。 适 用 于 平衡 配置 ， 任 何 一 个 
复合 站 都 无 顷 取 得 另 一 个 复合 站 的 允许 束 可 以 局 动 数据 传输 过 程 。 

(3) 异步 响应 方式 (Asynchronous Response Mode，ARM) 。 适 用 于 不 平衡 配置 ， 从 站 无 
须 取 得 主 站 的 明确 指示 就 可 以 局 动 数 据 传 输 ， 主 站 的 责任 只 是 对 线路 进行 管理 。 

正 第 啊 应 方式 可 用 于 计算 机 和 多 个 终端 相连 的 多 点 线路 上 ， 计 算 机 对 各 个 终端 进行 轮 
询 以 实现 数据 输入 。 正 第 啊 应 方式 也 可 以 用 于 点 对 点 的 链 路 上 ， 例 如 计算 机 和 一 个 外 设 相 
连 的 情况 。 异 步 平 衡 方式 能 有 效 地 利用 点 对 点 全 双 工 链 路 的 市 宽 ， 因 为 这 种 方式 没有 轮 询 的 开 
销 。 有 异步 啊 应 方式 的 特点 是 各 个 从 站 轮流 询问 中 心 站 ， 这 种 传输 方式 很 少 使 用 。 


2. HDLC 的 帧 结构 
HDLC 使 用 统一 的 帧 结构 进行 同步 传输 ， 图 1-21 所 示 为 HDLC 的 帧 结构 。 从 图 中 可 以 看 


出 ，HDLC 帧 由 6 个 字段 组 成 。 以 两 痛 的 标志 字 段 (FE) 作为 帧 的 边界 ， 在 信息 字段 (INFO) 
中 包含 了 要 传输 的 数据 。 
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图 1-21 HDLC 的 帧 结构 


下 面 对 HDLC 帆 的 各 个 字段 分 别 了 予以 解释 。 

(1) 帧 标志 FE。HDLC 用 一 种 特殊 的 位 模式 01111110 作为 帧 的 边界 标志 。 链 路 上 上 所 有 的 站 
都 在 不 断 地 探索 标志 模式 ， 一 旦 得 到 一 个 标志 就 开始 接收 帧 。 在 接收 帧 的 过 程 中 如 果 发 现 一 个 
标志 ， 则 认为 该 帧 结束 了 。 由 于 帧 中 间 出 现 位 模式 01111110 时 也 会 被 当 作 标志 ， 从 而 破坏 了 帧 
的 同步 ， 所 以 要 使 用 位 填充 技术 。 发 送 站 的 数据 位 序列 中 一 旦 发 现 0 后 有 5S 个 1， 则 在 第 7 位 
插入 一 个 0， 这 样 就 保证 了 传输 的 数据 中 不 会 出 现 与 帧 标志 相同 的 位 模式 。 接 收 站 则 进行 相反 
的 操作 : 在 接收 的 位 序列 中 如 果 发 现 0 后 有 5 个 1， 则 检查 第 7 位 ， 若 第 7 位 为 0 则 删除 ， 阁 
第 7 位 是 1 且 第 8 位 是 0， 则 认为 是 检测 到 帧 尾 的 标志 ; 阁 第 7 位 和 第 8 位 都 是 1， 则 认为 是 发 
送 站 的 停止 信号 。 有 了 位 填充 技术 ， 任 意 的 位 模式 都 可 以 出 现在 数据 帧 中 ， 这 个 特点 叫 作 透明 
的 数据 传输 。 

(2) 地 址 字段 A。 地 址 字段 用 于 标识 从 站 的 地 址 ， 用 在 点 对 多 点 链 路 中 。 地 址 通常 是 8 位 
长 ， 然 而 经 过 协商 之 后 ， 也 可 以 采用 更 长 的 扩展 地 址 。 扩 展 的 地 址 字段 如 图 1-20 所 示 ， 可 以 看 
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出 ， 它 是 8 位 组 的 整数 倍 。 每 一 个 8 位 组 的 最 低位 表示 该 8 位 组 是 否 是 地 址 字段 的 结尾 : 各 为 


1， 表 示 是 最 后 的 8 位 组 ; 铸 为 0， 则 不 是 。 所 有 8 位 组 的 其 余 7 位 组 成 了 整个 扩展 地 址 字段 。 
全 为 1 的 8 位 组 (11111111) 表示 广播 地 址 。 


(3) 控制 字 久 、 甩 记 引入， 本 根据 欣 制 字 外 的 格 又 分 。、 信 和 有 息 帆 中) 至 
看 此 路] 盆 X 顶 个 本 首 流 量 榨 制 和 差错 控制 的 应 答 信 号 。 管 理 帧 页 星 供 
AROQ 控制 信息 \ 使 用 朱 带 机 制 时 要 用 管理 帧 控制 传输 过 程 。 无 编号 帧 页 ) 提供 建立 
茎 放 等 链 路 控制 功能 及 少量 信息 的 无 连 搁 功能 。 探 制 宇 段 第 1 位 或 新 两 位 用 于 区 列 3 
了 冲 不 辐 格式 的 帧 ， 如 图 1-23 所 未。 基本 的 控制 字段 是 8 位 长 ， 扩 展 的 控制 宇 段 为 16 位 长 。 

wITNGSTEERNO] we pr Na 


mmIEETTI 
(a ) 基层 控制 字段 (b ) 扩展 控制 字段 


图 1-23 ”控制 字段 格式 
(4) 信息 字段 INFEO。 只 有 工 帧 和 基 些 无 编号 帧 含有 信息 字段 。 这 个 字段 可 含有 用 于 表示 
用 户 数据 的 任何 序列 ， 其 长 度 没有 规定 ， 但 具体 的 实现 往往 限定 了 最 大 帧 长 。 
(3 ) 帧 校 验 序列 FCS。FCS 中 含有 各 个 字段 的 校 验 〈 标 志 字 段 除外 ) 。 通 第 使 用 CRC-CCITT 
标准 产生 16 位 校 验 序列 ， 有 时 也 使 用 CRC-32 产生 32 位 校 验 序 列 。 


3. HDLC 的 帧 类 型 
HDLC 协议 的 帧 类 型 如 表 1-4 所 示 。 


表 1-4 HDLC 协议 的 帧 类 型 


名 -aa 
信息 帧 《IT) SC ae 交换 用 户 数据 


管理 帧 〈S ) 


接收 藏 结 (RR) NS | 而 入 而 局 | 目 定 各 本， 可 以 接收 第 7 估 


接收 未 就 绪 CRNR ) ww | 站 人 应 一 肯定 应 答 ， 不 能 继续 接收 
拒绝 接收 〈REJ) 否定 应 答 ， 后 退 V 帧 重 发 
选择 性 拒绝 接收 〈SREJ) 否定 应 答 ， 选 择 重 发 


置 正 党 啊 应 方式 (SNRM) 


天 cu) 一 ”一 


置 数据 传输 方式 为 NRM 
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续 表 
名 ” 字 功能 描述 
置 扩 展 的 正常 响应 方式 (SNRME ) 置 数据 传输 方式 为 扩展 的 NRM 
置 异 步 响应 方式 (SARMD) 置 数据 传输 方式 为 ARM 
置 扩展 的 异步 响应 方式 (SARME ) 置 数据 传输 方式 为 扩展 的 ARM 
置 异 步 平 衡 方式 (SABMD) 置 数据 传输 方式 为 ABM 
置 扩 展 的 异步 平衡 方式 (SABME ) 置 数据 传输 方式 为 扩展 的 ABM 
置 初始 化 方式 〈SIMD) 由 接收 站 启动 数据 链 路 控制 过 程 
拆除 连接 (DISC ) 命令 拆除 逻辑 连接 
无 编号 应 答 (UA) 响应 对 置 方式 命令 的 肯定 应 答 
非 连接 方式 (DMD) 响应 从 站 处 于 逻辑 上 断 开 的 状态 
请 求 拆除 连接 (RD) 请 求 断 开罗 辑 连 接 
请 求 初始 化 方式 CRIMD) 响应 请 求 发 送 SIM 命令 ， 启 动 初始 化 过 程 
无 编号 信息 〈UD) 交换 控制 信息 
无 编号 询问 〈UP) 请 求 发 送 控制 信息 
复位 (RSET) 命令 用 于 复位 ， 重 置 N (R) 、N (S) 
交换 标识 (XID ) 交换 标识 和 状态 
测试 (TEST) 交换 用 于 测试 的 信息 字段 
应 | 


帧 拒绝 C(FRMR ) 啊 应 报告 接收 到 不 能 接收 的 帧 


下 面 结 合 HDLC 的 操作 介绍 这 些 帧 的 作用 。 

(1) 信息 由 、 信 息 幅 除 承 裁 用 户 数 据 之 外 还 名 念 该 帧 的 编号 六 六 及 挡 带 的 肯定 避 
答 顺 序号 NCR )。I 帧 还 包含 一 个 PE 位 ,在 主 站 发 出 的 命令 帧 中 这 一 位 表示 了, 即 轮 询 (Polling ); 
在 从 站 发 出 的 响应 帧 中 这 一 位 是 F 位 ， 即 终止 位 〈Final) 。 在 正 第 啊 应 方式 下 ， 主 站 发 出 的 
格式 命令 帧 中 的 PE 位 置 1， 表 示 该 帧 是 询问 帧 ， 允 许 从 站 发 送 数据 。 从 站 啊 应 主 站 的 询问 ， 
可 以 发 送 多 个 响应 帧 ， 其 中 仅 最 后 一 个 响应 帧 的 IF 位 置 1， 表 示 一 批 数据 发 送 完毕 。 在 异步 
响应 方式 和 异步 平衡 方式 下 ，PA 位 用 于 控制 $ 帧 和 TU 帧 的 交换 过 程 。 

(2) 管理 帧 。 管 理 帧 用 于 进行 流量 和 差错 控制 ， 当 没有 足够 多 的 信息 帧 撒 珊 管 理 命令 / 啊 应 
时 ， 要 发 送 专门 的 管理 帧 来 实现 控制 。 从 表 1-4 看 出 ， 有 4 种 管理 帧 可 以 用 控制 字段 中 的 两 个 
S 位 来 区 分 。RR 帧 表示 接收 就 绪 ， 它 既是 对 N CR) 之 前 帧 的 确认 ， 也 是 准备 接收 N (R) 及 
其 后 续 帧 的 肯定 应 答 。RNR 帧 表示 接收 未 就 绪 ， 在 对 和 〈R) 之 前 的 帧 给 予 衣 定 应 答 的 同时 ， 
拒绝 进一步 接收 后 续 帧 。REJ 帧 表示 拒绝 接收 N (R) 帧 ， 要 求 重 发 N (R) 帧 及 其 后 续 帧 。 显 
然 ，REJ 用 于 后 退 N 帧 ARQ 流 控 方案 中 。 类 似 地 ，SREJ 帧 用 于 选择 重 友 ARQ 流 控 方案 中 。 

管理 帧 中 PE 位 的 作用 如 下 所 述 : 主 站 发 送 P 位 置 1 的 RR 帧 询问 从 站 ， 是 和 否 有 数据 要 发 
送 。 如 果 从 站 有 数据 要 发 送 ， 则 以 信息 帧 响应 ;否则 从 站 以 上 位 置 1 的 RR 帧 啊 应 ， 表 示 没 有 
数据 可 发 送 。 另 外 ， 主 站 也 可 以 发 送 P 位 置 1 的 RNR 帧 询问 从 站 的 状态 。 如 果 从 站 可 以 接收 
信息 帧 ， 则 以 上 位置 1 的 RR 帧 响应 ;， 反之， 如果 从 站 忙 ， 则 以 下 位置 1 的 RNR 帧 啊 应 。 

(3) 无 编号 帧 。 无 编号 帧 用 于 链 路 控制 。 这 类 帧 不 包含 编号 字段 ， 也 不 改变 信息 帧 流动 的 
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顺序 。 无 编号 帧 按 其 控制 功能 可 分 为 以 下 几 个 子 类 : 

e。 设置 数据 传输 方式 的 命令 和 啊 应 帧 。 

e。 传输 信息 的 命令 和 啊 应 帧 。 

e。 ”用 于 链 路 恢复 的 命令 和 啊 应 帧 。 

e。 其 他 命令 和 响应 帧 。 

设置 数据 传输 方式 的 命令 帧 由 主 站 发 送 给 从 站 ， 表 示 设 置 或 改变 数据 传输 方式 。SNRM、 
SARM 和 SABM 分 别 对 应 3 种 数据 传输 方式 。SNRME 、SARME 和 SABME 也 是 设置 数据 传 
和 输 方式 的 命令 帧 ， 然 而 这 3 种 传输 方式 使 用 两 个 字 节 的 控制 域 。 从 站 接收 了 设置 传输 方式 的 命 
令 帧 后 以 无 编号 应 答 帧 CUA) 啊 应 。 一 种 传输 方式 建立 后 一 直 保持 有 效 ， 直 到 另外 的 设置 方式 
命令 改变 了 当前 的 传输 方式 。 

主 站 向 从 站 发 送 置 初 始 化 方式 命令 (SIM) ， 使 得 接收 该 命令 的 从 站 启动 一 个 建立 链 路 的 
过 程 。 在 初始 化 方式 下 ， 两 个 站 用 无 编号 信息 帧 (UI) 交换 数据 和 命令 。 拆 除 连接 命令 (DISC ) 
用 于 通知 对 方 链 路 已 经 释放 ， 对 方 站 以 UA 帧 响应 ， 链 路 随 之 断 开 。 

除 UA 帧 之 外 ， 还 有 几 种 啊 应 帧 与 传输 方式 的 设置 有 关 。 非 连接 方式 帧 CDM) 可 用 于 员 
应 所 有 的 置 传输 方式 命令 , 表示 响应 的 站 处 于 逻辑 上 断 开 的 状态 , 即 拒绝 建立 指定 的 传输 方式 。 
请 求 初 始 化 方式 帧 (RIM) 也 可 用 于 响应 置 传输 方式 命令 ， 表 示 响 应 站 没有 准备 好 接收 命令 ， 
或 正在 进行 初始 化 。 请 求 拆除 连接 帧 (RD) 则 表示 响应 站 要 求 断 开 还 辑 连 接 。 信 息 传 输 的 命令 
和 响应 用 于 两 个 站 之 间 交 换 信息 。 无 编号 信息 帧 〈UI) 既 可 作为 命令 帧 ， 也 可 作为 啊 应 帧 。UI 
帧 传送 的 信息 可 以 是 高 层 的 状态 、 操 作 中 断 状 态 、 时 间 、 链 路 初始 化 参数 等 。 主 站 /复合 站 可 发 
送 无 编号 询问 命令 (UP) 请 求 接收 站 送 回 无 编号 响应 帧 ， 以 了 解 它 的 状态 。 

链 路 恢复 命令 和 响应 用 于 ARQ 机 制 不 能 正常 工作 的 情况 下 。 接 收 站 可 用 帧 拒绝 响应 
(FRMR ) 表示 接收 的 帧 中 有 错误 。 例 如 ， 控 制 字段 无 效 、 信 息 字 段 太 长 、 帧 类 型 不 允许 携 市 信 
息 以 及 撒 带 的 N (有 R) 无 效 等 。 

复位 命令 (RSET) 表示 发 送 站 正在 重新 设置 发 送 顺序 号 ， 这 时 接收 站 也 应 该 重新 设置 接 
收 顺 序号 。 

还 有 两 种 命令 和 响应 不 能 归 入 以 上 几 类 。 交 换 标识 〈XID) 帧 用 于 在 两 个 站 之 间 交 换 它 们 
的 标识 和 特征 ， 实 际 交 换 的 信息 依赖 于 具体 的 实现 。 测 试 命令 帧 (TEST) 用 于 测试 链 路 和 接收 
站 是 否 正 常 工 作 。 接 收 站 收 到 测试 命令 后 要 尽快 以 测试 帧 啊 应 。 


4. HDLC 的 操作 
下 面 通 过 图 1-24 的 例子 说 明 HDLC 的 操作 过 程 ， 这 些 例子 虽然 不 能 宫 括 实际 运作 中 的 所 
有 情况 ,但 是 可 以 帮助 读者 理解 各 种 命令 和 曙 应 的 使 用 方法 。 由 于 HDLC 定义 的 命令 和 响应 非 


毅 多 ， 可 以 实现 各 种 应 用 环境 的 所 有 要 求 ， 所 以 对 于 任何 一 种 特定 的 应 用 ， 只 要 实现 一 个 子 集 
驳 可 以 了 ， 以 下 给 出 的 例子 都 是 实际 应 用 中 的 典型 情况 。 
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(a ) 链 路 的 建立 和 拆除 (b ) 双向 数据 交换 (c ) 接收 闪 忙 (0(d) 后 退 重 发 (el) 超时 重 发 
1-24 HDLC 操作 举例 


在 图 1-24 中 ， 用 工 表示 信息 帧 ， 工 后 面 的 两 个 数字 分 别 表 示 信 息 帧 中 的 N (S) 和 N (R) 
值 。 管 理 帧 和 无 编号 帧 都 直接 给 出 帧 名 字 ， 管 理 帧 后 的 数字 则 表示 帧 中 的 N CR) 值 ,P 和 下 
表示 该 帧 中 的 PITF 位 置 1， 没 有 P 和 下 表示 这 一 位 置 0。 

图 1-24 (a) 说 明了 链 路 建立 和 拆除 的 过 程 。A 站 发 出 SABM 命令 并 启动 定时 器 ， 在 一 定 
的 时 间 内 没有 得 到 应 答 后 重 发 同一 命令 。B 站 以 UA 帧 响应， 并 对 本 站 的 局 部 变量 和 计数 器 进 
行 初始 化 。A 站 收 到 应 答 后 也 对 本 站 的 局 部 变量 和 计数 器 进行 初始 化 ， 并 停止 计时 ， 这 时 逻辑 
链 路 就 建立 起 来 了 。 拆 除 链 路 的 过 程 由 双方 交换 一 对 命令 DISC 和 啊 应 UA 完成 。 在 实际 使 用 
中 可 能 出 现 链 路 不 能 建立 的 情况 ,B 站 以 DM 响应 A 站 的 SABM 命令 ,或 者 A 站 重复 发 送 SABM 
命令 预定 的 次 数 后 放弃 建立 连接 ， 辐 上 层 实体 报告 链接 失败 。 

图 1-24 〈b) 说 明了 全 双 工 交换 信息 帧 的 过 程 。 每 个 信息 帧 中 用 N 〈S) 指明 发 送 顺 序 
号 ， 用 N (CR) 指明 接收 顺序 号 。 当 一 个 站 连续 发 送 了 若干 帧 而 没有 收 到 对 方 发 来 的 信息 帧 
时 ，N (CR) 字段 只 能 简单 地 重复 。 例 如 ，A 发 给 B 的 II1 和 I21。 最 后 A 站 没有 信息 帧 要 
发 时 用 一 个 管理 帧 RR4 对 B 站 给 予 应 答 。 图 中 也 表示 出 了 肯定 应 答 的 积累 效应 。 例 如 A 站 
发 出 的 RR4 帧 一 次 应 答 了 B 站 的 两 个 数据 帧 。 

图 1-24《〈c) 男 出 了 接收 茹 忙 的 情况 。 出 现 这 种 情况 的 原因 可 能 是 接收 站 数据 链 路 层 缓冲 区 
溢出 ， 也 可 能 是 接收 站 上 层 实体 来 不 及 处 理 接 收 到 的 数据 。 图 中 A 站 以 RNR4 啊 应 B 站 的 I0 
帧 ， 表 示 A 站 对 第 3 帧 之 前 的 帧 已 正确 接收 ， 但 不 能 继续 接收 下 一 个 帧 。B 站 接收 到 RNR4 后 
每 陋 一 定时 间 以 P 位 置 1 的 RNR 命令 询问 接收 站 的 状态 。 接 收 站 A 如 条 保持 忙 则 以 下 位置 1 
的 RNR 帧 响应 ; 如果 忙 状态 解除 ， 则 以 上 位 置 1 的 RR 帧 响应 ， 于 是 数据 传送 从 RR 应 答 中 的 
接收 序号 恢复 发 送 。 

图 1-24 〈d) 描述 了 使 用 REJ 命令 的 例子 。A 站 发 出 了 第 3、4、5 信息 帧 ， 其 中 第 4 帧 出 
错 。 接 收 站 检 出 错误 帧 后 发 出 REJ4 命令 ， 发 送 站 返回 到 出 错 帧 重 发 。 这 是 使 用 后 退 N 帧 ARQ 
技术 的 典型 情况 。 
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图 1-24〈e) 表示 的 是 超时 重 发 的 例子 。A 站 发 出 的 第 3 帧 出 错 ，B 站 检测 到 错误 后 技 弃 
了 它 。 但 是 ，B 站 不 能 发 出 REJ 命令 ， 因 为 B 站 无 法 判断 这 是 一 个 I 帧 。A 站 超时 后 发 出 P 位 
署 1 的 RNR 命令 询问 B 站 的 状态 。B 站 以 RR3F 响应 ， 于 是 数据 传送 从 断 点 处 恢复 。 


1.4.2 IEEE 802.3 标准 


1. CSMA/CD 协议 


CSMA 的 基本 怕 理 是 : 站 在 发 送 数据 之 前 ， 先 监听 信道 上 是 否 有 别 的 站 发 送 的 载波 信号。 
在 有 ， 说 明 信 道 正 忙 ， 否 则 说 明 信 道 是 空 亲 的 ， 然 后 根据 预定 的 策略 决定 : 

(1) 知 信 道 空 闲 ， 是 人 否 立 即 发 送 。 

(2) 在 信道 人 已， 是否 继续 监听 。 

即使 信道 空闲 ， 大 立即 发 送 仍然 会 发 生 冲 突 。 一 种 情况 是 远 端 的 站 刚 开 始 发 送 ， 载 波 信和 号 
尚未 到 达 监 听 站 ， 这 时 监听 站 大 立 即 发 送 ， 就 会 和 远 端 的 站 发 生 冲突 ; 另 一 种 情况 是 虽然 暂时 
没有 站 发 送 ， 但 碰巧 两 个 站 同时 开始 监听 ， 如 果 它 们 都 立即 发 送 ， 也 会 发 生 冲 突 。 所 以 ， 上 面 
的 控制 策略 的 第 《1) 氮 就 是 想 要 避免 这 种 虽然 黎 少 ， 但 仍 可 能 发 生 的 神 突 。 着 信道 忙 时 ， 如 
朱 坚 持 监听 ， 发 送 的 站 一 旦 停止 束 可 立即 抢占 信道 。 但 是 ， 有 可 能 几 个 站 同时 都 在 监听 ， 同 时 
都 抢占 信道 ， 从 而 发 生 冲突 。 以 上 控制 策略 的 第 〈2) 点 就 是 进一步 优化 监听 算法 ， 使 得 有 些 
监听 站 或 所 有 监听 站 都 后 退 一 段 随机 时 间 再 监听 ， 以 避免 冲突 。 


2. 二 进 制 指数 后 退 算法 


检测 到 冲突 发 送 干 扰 信 号 后 退 一 段 时 间 重 新 发 送 。 后 退 时 间 的 多 少 对 网 络 的 稳定 工作 有 很 
大 影响 。 特 别 是 在 负载 很 重 的 情况 下 ， 为 了 避免 很 多 站 连续 发 生 冲 突 ， 需 要 设计 有 效 的 后 退 算 
法 。 按 照 二 进 制 指数 后 退 算法 ， 后 退 时 延 的 取 值 范围 与 重 发 次 数 冯 形成 二 进 制 指数 关系 。 或 者 
说 ， 随 着 重 发 次 数 半 的 增加 ， 后 退 时 延 二 的 取 值 范围 按 2 的 指数 增 大 。 即 第 一 次 试 发 送 时 半 的 
值 为 0， 每 冲突 一 次 款 的 值 加 1， 并 按 下 式 计 算 后 退 时 延 : 
ee 2 
1 =57 


其 中 ， 第 一 式 是 在 区 间 [0，2] 上 取 一 均匀 分 布 的 随机 整数 此 第 二 式 是 计算 出 随机 后 退 时 
延 。 为 了 避免 无 限制 的 重 发 ， 要 对 重 发 次 数 半 进行 限制 ， 这 种 情况 往往 是 信道 故障 引起 的 。 通 
种 当即 描 加 到 某 一 最 大 值 〈 例 如 16) 时 ， 停 止 发 送 ， 并 向 上 层 协议 报告 发 送 错误 。 

当然 ， 还 可 以 用 其 他 的 后 退 算法 ， 但 二 进 制 指数 后 退 算法 考虑 了 网 络 负载 的 变化 情况 。 事 
实 上 ， 后 退 次 数 的 多 少 往往 与 负载 大 小 有 关 ， 二 进 制 指数 后 退 算法 的 优点 正 是 把 后 退 时 延 的 平 
均 取 值 与 负载 的 大 小 联系 了 起 来 。 
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3. 局 域 网 互 连 


局 域 网 通过 网 桥 互 连 。IEEE 802 标准 中 有 两 种 关于 网 桥 的 规范 : 一 种 是 802.1d 定义 的 透 
明 网 桥 〈 生 成 树 网 桥 ) ; 另 一 种 是 802.5 标准 中 定义 的 源 路 由 网 桥 。 

(1 ) 生成 树 网 桥 。 这 是 一 种 完全 透明 的 网 桥 ， 这 种 网 桥 插 入 电缆 后 就 可 以 自动 完成 路 由 选 
择 的 功能 ， 无 须 由 用 户 装 入 路 由 表 或 设置 参数 ， 网 桥 的 功能 是 自己 学 习 获 得 的 。 生 成 树 网 桥 的 
原理 包括 帧 转发 、 地 址 学 习 和 环 路 分 解 。 

网 桥 为 了 能 够 决定 是 否 转发 一 个 帧 ， 必 须 为 每 个 转发 端口 保存 一 个 转发 数据 库 ， 数 据 库 中 
保存 着 必须 通过 该 端口 转发 的 所 有 站 的 地 址 。 假 定 网 桥 从 端口 X 收 到 一 个 MAC 帧 ， 转 发 机 制 
如 下 : 

GD 查找 除 输入 端口 之 外 的 其 他 转发 数据 库 。 

@) 如 果 没 有 发 现 目标 地 址 ， 则 丢弃 帧 。 

@) 如 果 在 某 个 端口 Y 的 转发 数据 库 中 发 现 目标 地 址 ， 并 且 Y 端口 没有 阻塞 〈 阻 塞 的 原因 
下 面 讲述 ) ， 则 把 收 到 的 MAC 帧 从 立 端口 发 送出 去 ; 若 Y 端口 阻塞 ， 则 丢弃 该 帧 。 

地 址 学 习 机 制 可 以 使 网 桥 从 无 到 有 地 上 自行 决定 每 一 个 站 的 转发 方向 。 如 果 一 个 MAC 帧 从 
某 个 端口 到 达 网 桥 ， 显 然 它 的 源 工 作 站 处 于 网 桥 的 入 口 LAN 一 边 ， 从 帧 的 源 地 址 字段 可 以 知 
道 该 站 的 地 址 ， 于 是 网 桥 据 此 更 新 相应 端口 的 转发 数据 库 。 为 了 应 付 网 络 拓扑 结构 的 改变 ， 转 
发 数据 库 的 每 一 数据 项 〈 站 地 址 ) 都 配备 一 个 定时 器 。 

生成 树 算 法 用 于 消除 环 路 。 由 环 路 引起 的 循环 转发 破坏 了 网 桥 的 数据 库 ， 使 得 网 桥 无 法 获 
得 正确 的 转发 信息 。 克服 这 个 问题 的 思路 就 是 要 设法 消除 环 路 ,从 而 避免 出 现 互相 转发 的 情况 。 
有 一 种 提取 连通 图 生成 树 的 简单 算法 ， 可 以 用 于 因特网 消除 其 中 的 环 路 。 在 因特网 中 ， 每 一 个 
LAN 对 应 于 连通 图 的 一 个 顶点， 而 每 一 个 网 桥 对 应 于 连通 图 的 一 个 边 。 删 去 连通 图 的 一 个 边 等 
价 于 移 去 一 个 网 桥 ， 凡 是 构成 回路 的 网 桥 都 可 以 逐个 移 去 ， 最 后 得 到 的 生成 树 不 含 回 路 ， 但 又 
不 改变 网 络 的 连通 性 。 

(2) 源 路 由 网 桥 。 生 成 树 网 桥 的 优点 是 易于 安装 ， 无 顷 人 工 输入 路 由 信息 ， 但 是 这 种 网 桥 
只 利用 了 网 络 拓扑 结构 的 一 个 子 集 ， 没 有 最 好 地 利用 带宽 。 所 以 ，802.5 标准 中 给 出 了 另 一 种 
网 桥 路 由 策略 一 一 源 路 由 网 桥 。 源 路 由 网 桥 的 核心 思想 是 由 帧 的 发 送 者 显 式 地 指明 路 由 信息 。 
路 由 信息 由 网 桥 地 址 和 LAN 标识 符 的 序列 组 成 ， 包 含 在 帧 头 中 。 每 个 收 到 帧 的 网 桥 根 据 帧 头 
中 的 地 址 信息 可 以 知道 自己 是 否 在 转发 路 径 中 ， 并 可 以 确定 转发 的 方向 。 

在 这 种 方案 中 ， 网 桥 无 须 保 存 路 由 表 ， 只 需 记 住 自 己 的 地 址 标识 符 和 它 所 连接 的 LAN 标识 
符 ， 就 可 以 根据 帧 头 中 的 信息 做 出 路 由 决策 。 然 而 ,发 送 帧 的 工作 站 必须 知道 网 络 的 拓扑 结构 ， 
了 解 目 标 站 的 位 置 ， 才 能 给 出 有 效 的 路 由 信息 。 在 802.5 标准 中 有 各 种 路 由 指示 和 寻 址 模式 用 
于 解决 源 站 获取 路 由 信息 的 问题 。 
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1.4.3 ”高 速 以 太 网 


1. 快速 以 大 网 


1995 年 100Mbps 的 快速 以 太 网 标准 IEEE 802.3u 正式 颁布 ,这 是 基于 10Base-T 和 10Base-F 
技术 , 在 基本 布线 系统 不 变 的 情况 下 开发 的 高 速 局 域 网 标准 。 快 速 以 太 网 的 物理 层 规范 如 表 1-5 
所 示 。 其 中 , 多 模 光 纤 的 必 线 直径 为 62.3hm, 包 层 直径 为 12Shum; 单 模 光 纤 的 心 线 直 径 为 8um 
包 层 直径 也 是 12Shm。 


表 1-$ 快速 以 太 网 物理 层 规范 
导 是 大玉 攻 
Ho 


2. 于 兆 以 太 网 

1000Mbps 以 太 网 的 传输 速率 更 快 ,作为 主干 网 提供 无 阻塞 的 数据 传输 服务 。1996 年 3 月 ， 
IEEE 成 立 了 802.3z 工作 组 ,开始 制定 1000Mbps 以 太 网 标准 。 后 来 又 成 立 了 有 100 多 家 公司 参 
加 的 千 兆 以 太 网 联盟 (Gigabit Ethernet Alliance，GEA) ， 支 持 IEEE 802.3z 工作 组 的 各 项 活动 。 
1998 年 6 月 公布 的 IEEE 802.3z 和 1999 年 6 月 公布 的 IEEE 802.3ab 已 经 成 为 千 兆 以 太 网 的 正 
式 标 准 ， 它 们 规定 了 4 种 传输 介质 ， 如 表 1-6 所 示 。 


表 1-6 于 兆 以 太 网 标准 


电 绕 
1000Base-SX | 光纤 〈 短 波 770nm 一 860nm ) 多 模 光 纤 〔50hm，62.5hm ) 


单 模 (10hmy) 或 多 模 光 纤 (50hm， 
-LX| 光 纤 〈 长 波 1270nm 一 1355 
IFEF 802 3y 1000Base-LX | 光纤 《长波 3SSnm) | S000m 62.5um) 
线 》 硬 一 卓 设 
1000Base-CX | 两 对 STP 和 
之 国 
IEEE 
802 3 1000Base-T | 四 对 UTP 5 类 无 屏蔽 双 绞 线 ，8B/10B 编码 


实现 干 兆 数据 速率 需要 采用 新 的 数据 处 理 技术 。 首先 是 最 小 帧 长 需要 扩展 ， 以 便 在 半 双 工 
的 情况 下 增加 路 距 。 另 外 ，802.3z 还 定义 了 一 种 帧 突 发 方式 〈Frame Bursting) ， 使 得 一 个 站 可 
以 连续 发 送 多 个 帧 。 最 后 , 物理 层 编码 也 采用 了 与 10Mbps 不 同 的 编码 方法 , 即 4B/SB 或 8B/9B 
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编码 法 。 
千 兆 以 太 网 标准 适用 于 已 安装 的 综合 布线 基础 之 上 ， 以 保护 用 户 的 投资 。 


3. 万 兆 以 太 网 


2002 年 6 月 ,IEEE 802.3ae 标准 用 布 ， 文 持 10Gbps 的 传输 速率 ， 相 应 的 标准 如 表 1-7 所 
示 。 传 统 以 太 网 采用 CSMAVCD 协议 ， 即 珊 剖 究 检 测 的 载波 监听 多 路 访问 技术 。 与 千 兆 以 太 网 
一 样 ， 万 兆 以 太 网 基本 应 用 于 点 到 点 线路 ， 不 再 共享 带宽 ， 没 有 冲突 检测 ， 载 波 监 听 和 多 路 访 
问 技术 也 不 再 重要 。 千 兆 以 太 网 和 万 兆 以 太 网 采用 与 传统 以 太 网 同样 的 帧 结构 。 


表 1-7 IEEE 802.3ae 万 兆 以 太 网 标准 
名 称 最 大 段 长 特点 
50hm 的 多 模 光 纤 _ 
10GBase-S 〈Short) 850nm 串 和 
scS 《Short) | 65.5nm 的 多 模 光 纤 0 
10GBase-L (Long ) 单 模 光 纤 1310nm 串 行 
10GBase-E (Extended) | 单 模 光 纤 1550nm 串 行 
单 模 光纤 1310nm 
10GBase-LX4 50hm 的 多 模 光 纤 4x2.5Gbps 
62.5hm 的 多 模 光 纤 波 分 多 路 复 用 〈WDMD) 


1.4.4 “虚拟 局 域 网 


虚拟 局 域 网 (Virtual Local Area Network，VLAN ) 是 根据 管理 功能 、 组 织 机 构 或 应 用 类 型 
对 交换 局 域 网 进行 分 段 而 形成 的 逻辑 网 络 。 虚 拟 局 域 网 与 物理 局 域 网 具有 同样 的 属性 ， 然 而 其 
中 的 工作 站 可 以 不 属于 同一 个 物理 网 段 。 任 何 交 换 端 口 都 可 以 分 配给 某 个 VLAN， 属 于 同一 个 
VLAN 的 所 有 端口 构成 一 个 广播 域 。 每 一 个 VLAN 都 是 一 个 逻辑 网 络 ， 发 往 VLAN 之 外 的 分 
组 必须 通过 路 由 堪 进 行 转 发 。 

在 交换 机 上 实现 VLAN， 可 以 采用 静态 的 或 动态 的 方法 。 

(1) 静态 分 配 VLAN。 为 交换 机 的 各 个 端口 指定 所 属 的 VLAN。 这 种 基于 疹 口 的 划分 方法 
是 把 各 个 端口 固定 地 分 配给 不 同 的 VLAN， 任 何 连 接 到 交换 机 的 设备 都 属于 接 入 端口 所 在 的 
VLAN。 

(2) 动态 分 配 VLAN。 动 态 VLAN 通过 网 络 管理 软件 包 来 创建 ， 可 以 根据 设备 的 MAC 地 
址 、 网 络 层 协议 、 网 络 层 地 址 、 卫 广播 域 或 管理 策略 来 划分 VLAN。 根据 MAC 地 址 划分 VLAN 
的 方法 应 用 最 多 ， 一 般 交 换 机 都 支持 这 种 方法 。 无 论 一 台 设 备 连接 到 交换 网 络 的 什么 地 方 ， 接 
入 交换 机 根据 设备 的 MAC 地 址 就 可 以 确定 该 设备 的 VLAN 成 员 喘 份 。 这 种 方法 使 得 用 户 可 以 
在 交换 网 络 中 改变 接 入 位 置 ， 而 仍 能 访问 所 属 的 VLAN。 但 是 ， 当 用 户 数量 很 多 时 ， 对 每 个 用 
户 设 备 分 配 VLAN 的 工作 量 是 很 大 的 管理 负担 。 

把 物理 网 络 划 分 成 VLAN 的 好 处 有 控制 网 络 流量 、 提 高 网 络 的 安全 性 以 及 灵活 的 网 络 


管理 。 
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IEEE 802.1q 定义 了 VLAN 帧 标记 的 格 陈 , 在 原来 的 以 太 帧 中 增加 了 4 个 字 节 的 标记 (Tag) 
字段 ， 如 图 1-25 所 示 。 其 中 ， 标 记 控 制 信息 〈Tag Control Information，TCI) 包含 Priority、CFI 
和 VID 3 个 部 分 。 


ET ECS 


<=1 500 4 位 


标记 控制 信 二 TCI 


图 1-25 802.19 帧 格式 


1.4.5 “元 余 网 关 技 术 


在 进行 大 、 中 型 网 络 设计 时 ， 网 络 核心 设备 的 备份 是 设计 者 必须 要 考虑 的 问题 ， 就 如 同 服 
务 器 采用 多 硬盘 RAID 提高 数据 的 安全 性 一 样 。 路 由 器 作为 整个 网 络 的 核心 设备 ， 如 果 发 生 致 
命 性 的 故 隐 ， 将 导致 本 地 网 络 的 次 痪 。 

在 进行 网 络 规划 时 ， 通 第 将 2 个 或 2 个 以 上 的 路 由 吉 互 为 热 备 ， 如 果 有 一 台 路 由 器 出 故障 
不 能 正 弟 工作 ， 路 由 将 目 动 切换 到 其 他 路 由 左上， 这 种 机 制 也 称 为 网 络 系统 中 的 心跳 机 制 。 在 
网 络 系统 中 采用 心跳 机 制 的 协议 通常 包括 VRRP (Virtual Router Redundancy Protocol， 虚 拟 路 
由 宛 余 协议 )、HSRP (Hot Standby Router Protocol, 热 备 份 路 由 器 协议 ) 和 GLBP (Gateway Load 
Balancing Protocol， 网 关 负 载 均 衡 协 议 ) 。 在 网 络 规划 时 通常 将 解决 此 类 问题 的 技术 称 为 元 余 
网 天 技术 ，VRRP 是 国际 标准 协议 ， 多 见于 国产 设备 及 网 络 平 台 ，GLBP 与 HSRP 是 思科 网 络 
的 专 有 协议 ， 通 帝 只 应 用 在 其 私有 平台 。 


1. VRRP 


VRRP 是 由 IETF 提出 的 解决 局 域 网 中 配置 静态 网 关 出 现 单 点 失效 现象 的 路 由 协议 ，1998 
年 推出 正式 的 RFC2338 协议 标准 。 

可 以 将 VRRP 理解 成 一 种 选择 协议 ， 它 可 以 把 一 个 虚拟 路 由 器 担负 的 任务 动态 分 配 到 局 
域 网 上 的 VRRP 路 由 器 中 的 一 台 。 控 制 虚拟 路 由 器 卫 地 址 的 VRRP 路 由 器 称 为 主 路 由 器 ， 
它 负 责 转 发 数据 包 到 这 些 虚 拟 卫 地 址 。 一 旦 主 路 由 器 不 可 用 ， 这 种 选择 过 程 就 提供 了 动态 的 
故障 转移 机 制 ， 人 允许 虚 拟 路 由 器 的 了 地 址 作为 终端 主机 的 默认 第 一 跳 路 由 器 。 这 样 主 机 发 出 
的 目的 地 址 不 在 本 网 段 的 报 文 将 被 通过 缺 省 网 关 发 往 三 层 交 换 机 ， 从 而 实现 了 主机 和 外 部 网 络 
的 通信 。 

也 可 以 将 VRRP 理解 成 一 种 路 由 容错 协议 , 也 可 以 叫 作 备份 路 由 协议 。 当 缺 省 路 由 器 down 
反 《〈 即 端口 关闭 ) 之 后 ， 内 部 主机 将 无 法 与 外 部 通信 ， 如 果 路 由 器 设置 了 VRRP， 那 么 这 时 ， 
虚拟 路 由 将 启用 备份 路 由 器 ， 从 而 实现 全 网 通信 。 
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在 VRRP 协议 中 ， 有 两 组 重要 的 概念 : VRRP 路 由 器 和 虚拟 路 由 器 ， 主 控 路 由 器 和 备份 路 
由 右 。VRRP 路 由 元 是 指 运行 VRRP 的 路 由 器 ， 是 物理 实体 ， 虚 拟 路 由 器 是 指 VRRP 协议 创建 
的 ， 是 多 辑 概念 。 一 组 VRRP 路 由 堪 协 同 工 作 ， 共 同 构 成 一 台 虚 拟 路 由 器 。 该 虚拟 路 由 器 对 外 
表现 为 一 个 具有 唯一 固定 的 卫 地 址 和 MAC 地 址 的 逻辑 路 由 器 。 处 于 同一 个 VRRP 组 中 的 路 由 
耸 具 有 两 种 互 斥 的 角色 : 主 控 路 由 器 和 备份 路 由 器 。 一 个 VRRP 组 中 有 且 只 有 一 台 处 于 主 挖角 
色 的 路 由 器 ， 可 以 有 一 个 或 者 多 个 处 于 备份 角色 的 路 由 器 。VRRP 协议 从 路 由 器 组 中 选 出 一 台 
作为 主 控 路 由 器 ， 负 责 ARP 解析 和 转发 卫 数据 包 ， 组 中 的 其 他 路 由 器 作为 备份 的 角色 并 处 于 
待命 状态 ， 当 由 于 茶 种 原因 ， 主 控 路 由 器 发 生 故 障 时 ， 其 中 的 一 台 备 份 路 由 器 能 在 瞬间 的 时 延 
后 升级 为 主 控 路 由 器 ， 由 于 此 切换 非常 迅速 而 且 不 用 改变 卫 地 址 和 MAC 地 址 ， 故 对 终端 使 用 
者 系统 是 透明 的 。 


2. HSRP 


热 备 份 路 由 器 协议 〈HSRP) 的 设计 目标 是 文 持 特定 情况 下 ， 卫 流量 失败 转移 不 会 引起 混 
和 配 ， 并 人 允许 主机 使 用 单 路 由 器 ， 以 及 即使 在 实际 第 一 跳 路 由 器 使 用 失败 的 情形 下 仍 能 维护 路 由 
器 间 的 连通 性 。 

负责 转发 数据 包 的 路 由 器 称 为 主动 路 由 器 (Active Router) 。 一 旦 主动 路 由 器 出 现 故障 ， 
HSRP 将 激活 备份 路 由 器 〈Standby Routers) 取代 主动 路 由 器 。HSRP 协议 提供 了 一 种 决定 使 
用 主动 路 由 峰 还 是 备份 路 由 器 的 机 制 ， 并 指定 一 个 虚拟 的 卫 地 址 作为 网 络 系统 的 缺 省 网 关 地 
址 。 如 果 主 动 路 由 器 出 现 故障 ， 备 份 路 由 器 〈Standby Routers) 承接 主动 路 由 器 的 所 有 任务 ， 
并 且 不 会 导致 主机 连通 中 断 现 象 。 

HSRP 运行 在 UDP 上 ,， 采 用 端口 号 198$。 路 由 堪 转 发 协议 数据 包 的 源 地 址 使 用 的 是 实际 
PP 地址， 而 并 非 虚 拟 地 址 ， 正 是 基于 这 一 点 ，HSRP 路 由 器 间 能 相互 识别 。 

实现 HSRP 的 条 件 是 系统 中 有 多 台 路 由 器 ， 它 们 组 成 一 个 “ 热 备 份 组 ”， 这 个 组 形成 一 个 
虚拟 路 由 圳 。 在 任 一 时 刻 ， 一 个 组 内 只 有 一 个 路 由 器 是 活动 的 ， 并 由 它 来 转发 数据 包 ， 如 果 活 
动 路 由 器 发 生 了 故障 , 将 选择 一 个 备份 路 由 吉 来 奉 代 活动 路 由 器 , 但 是 在 本 网 络 内 的 主机 看 来 ， 
虚拟 路 由 器 没有 改变 。 所 以 主机 仍然 保持 连接 ， 没 有 受到 故障 的 影响 。 

为 了 减少 网 络 的 数据 流量 ， 在 设置 完 活动 路 由 器 和 备份 路 由 器 之 后 ， 只 有 活动 路 由 器 和 备 
份 路 由 堪 定 时 发 送 HSRP 报 文 。 如 果 活 动 路 由 器 失效 ， 备 份 路 由 器 将 接管 成 为 活动 路 由 器 。 如 
和 果 备 份 路 由 器 失效 或 者 变 成 了 活跃 路 由 器 ， 将 由 另外 的 路 由 器 被 选 为 备份 路 由 器 。 

HSRP 协议 利用 一 个 优先 级 方案 来 决定 哪个 配置 了 HSRP 协议 的 路 由 器 成 为 默认 的 主动 路 
由 堪 。 路 由 峰 的 缺 省 优先 级 是 100， 所 以 如 果 只 设置 一 个 路 由 器 的 优先 级 高 于 100， 则 该 路 由 
器 将 成 为 主动 路 由 器 。 

通过 在 设置 了 HSRP 协议 的 路 由 器 之 间 广 播 HSRP 优先 级 ，HSRP 协议 选 出 当前 的 主动 路 
由 堪 。 当 在 预先 设 定 的 一 段 时 间 内 主动 路 由 器 不 能 发 送 hello 消息 时 ， 优 先 级 最 高 的 备用 路 由 
器 变 为 主动 路 由 器 。 路 由 器 之 间 的 包 传 输 对 网 络 上 的 所 有 主机 来 说 都 是 透明 的 。 
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3. CLBP 


与 HSRP、VRRP 不 同 的 是 , GLBP 不 仅 提供 元 余 网 关 , 还 在 各 网 关 之 间 提 供 负载 均衡 ， 而 
HSRP、VRRP 都 必须 选 定 一 个 活动 路 由 堪 , 而 备用 路 由 器 则 处 于 闲置 状态 。 和 HSRP 不 同 的 是 ， 
GLBP 可 以 绑 定 多 个 MAC 地 址 到 虚拟 了 下, 从 而 允许 客户 端 选择 不 同 的 路 由 器 作为 其 默认 网 关 ， 
而 网 关 地 址 仍 使 用 相同 的 虚拟 了 下， 从 而 实现 一 定 的 元 余 。 

优先 级 最 高 的 路 由 器 成 为 活动 路 由 器 ， 称 作 Acitve Virtual Gateway 〈AVG) ， 其 他 非 AVG 提 
供 元 余 。 某 路 由 器 被 推举 为 AVG 后 ，AVG 分 配 虚拟 的 MAC 地 址 给 其 他 GLBP 组 成 员 。 所 有 的 
GLBP 组 中 的 路 由 器 都 转发 包 ， 但 是 各 路 由 器 只 负责 转发 与 目 己 的 虚拟 MAC 地 址 相关 的 数据 包 。 

通常 来 说 ,，VRRP、HSRP 和 GLBP 的 区 别 在 于 是 否 同时 只 存在 一 个 物理 山口 处 于 ACTIVE 
状态 。VRRP 与 HSRP 的 区 别 在 于 设备 间 的 认证 机 制 、 初 始 状态 、 报 文 数 量 、 安 全 性 等 方面 略 
有 不 同 。 


4. VRRP 主 备 备份 配置 示例 


VRRP 的 主 备 备 份 配置 的 连接 拓扑 岁 如 图 1-26 所 示 。PC1 通过 Switch 双 归 属 到 Router A 
和 Router B。 主 机 以 Router A 为 默认 网 关 接 入 Internet， 当 Router A 故障 时 ，Router B 接 蔡 作为 
网 关 继 续 进 行 工 作 ， 实 现 网 关 的 郊 余 备份 ，Router A 故障 恢复 后 ， 可 以 重新 成 为 网 关 。 


VRRP VRID 1 
Virtual IP address: Router A 
10.1.1.200 Master 
GE2/0/0 
10.1.1.1/24 GE1/0/0 
192.168.10.1/24 


GOE1/0/0 
192.168.10.2/24 


GE3/0/0 
172.16.1.1/24 


GE2/0/0 
192.168.20.2/24 


10.1.1.100 


GEIL/0O/0 
10.1.1.2/24 192.168.20.1/24 
Router B 
Backup 


图 1-26”VRRP 主 备 备份 配置 的 连接 拓扑 图 


采用 VRRP 主 备 备份 实现 网 关 元 余 备 份 包 括 如 下 步骤 : 

e。 配置 各 设备 接口 卫 地 址 及 路 由 协议 ， 使 各 设备 间 网 络 层 连 通 。 

e。 在 Router A 和 Router B 上 配置 VRRP 备份 组 。 其 中 ，Router A 上 配置 较 高 优先 级 和 
20 秒 抢 占 延 时 ， 作 为 Master 设备 承担 流量 转发 ;， Router B 上 配置 较 低 优先 级 ， 作 为 备 
用 路 由 器 ， 实 现 网 关 元 余 备 份 。 


第 1 章 “计算 机 网 络 基础 39 图 


(1) 配置 设备 间 的 网 络 互 连 。 

# 配置 设备 各 接口 的 卫 地 址 ， 以 Router A 为 例 。Router B 和 Router C 的 配置 与 Router A 
类 似 。 

<Huawel> System-view 

[Huawell sysname Router A 

[RouterA] interface glgabltethernet 2/0/0 

[RouterA-GlgabltEthernet2/0/0] ip address 10.1.1.1 24 

[RouterA-GlgablitEthernet2/0/0] qult 

[RouterA] interface glgabltethernet 1/0/0 

[RouterA-GOlgabltEthernetl/0/0] ip address 192.168.10.1 24 

[RouterA-GlgabltEthernetl1/0/0] qult 

# 配置 RouterA、RouterB 和 Router C 间 采 用 OSPF 协议 进行 互 连 。 以 RouterA 为 例 ,Router 
B 和 Router C 的 配置 与 Router A 类 似 。 

[RouterA] ospf 1 

[RouterA-ospf-1j area 0 

[RouterA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.25S5 

[RouterA-ospf-1-area-0.0.0.0] network 192.168.10.0 0.0.0.235 

[RouterA-ospf-1-area-0.0.0.0] quilt 

[RouterA-ospf-1] qult 

(2) 配置 VRRP 备份 组 。 

# 在 RouterA 上 创建 VRRP 备份 组 1， 配 置 RouterA 在 该 备份 组 中 的 优先 级 为 120， 并 配 
置 抢占 时 间 为 20 秒 。 

[RouterA] Interface glgabltethernet 2/0/0 

[RouterA-GQlgabltEthernet2/0/0] vrrp vrld 1 virtual-ip 10.1.1.200 

[RouterA-QOlgabltEthernet2/0/0] vrrp vrld 1 priorlty 120 

[RouterA-GQlgabltEthernet2/0/0] vrrp vrld 1 preempt-mode timer delay 20 

[RouterA-GQlgabltEthernet2/0/0] quit 

# 在 RouterB 上 创建 VRRP 备份 组 1， 其 在 该 备份 组 中 的 优先 级 为 缺 省 值 100。 

[RouterB] Interface glgabltethernet 2/0/0 

[RouterB-QOlgabltEthernet2/0/0] vrrp vrld 1 virtual-ip 10.1.1.200 

[RouterB-GQOlgabltEthernet2/0/0] qult 

(3) 测试 配置 结 末 。 

# 完成 上 述 配 置 以 后 ,在 RouterA 和 Router B 上 分 别 执行 display vrrp 命令 ,可 以 看 到 Router 
A 在 备份 组 中 的 状态 为 Master，Router B 在 备份 组 中 的 状态 为 Backup。 

[RouterA] display vrrp 

WOlgabltEthernet2/0/0 | Virtual Router 1 
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State : Master 
Virtual IP : 10.1.1.200 
Master IP 和 1 网 | 


PriorlityRun : 120 

PriorityConflg : 120 

MasterPriorlty : 120 

Preempt : YES ”Delay Time : 20 S 

TimerRun : 1s 

TimerConfig : 1sS 

Auth type : NONE 

Virtual MAC : 0000-3e00-0101 

Check ITIL : YES 

Conflig type : normal-vrrp 

Backup-forward : disabled 

Create ttme : 2012-03-11 11:39:18 

Last change ttme : 2021-0S-20 11:38:S8 
[RouterB] display vrrp 
GOlgabltEthernet2/0/0 | Virtual Router 1 

State : Backup 

Virtual IP : 10.1.1.200 

Master IP 二 

PriorltyRun : 100 

PriorityConflg : 100 

MasterPriorlty : 120 

Preempt :YES Delay Jime :0s 

TimerRun : 1 s 

TimerConflg : 1 sS 

Auth type : NONE 

Virtual MAC : 0000-9e00-0101 

Check TIL : YES 

Conflg type : normal-vrTp 

Backup-forward : disabled 

Create ttme : 2021-05-11 11:39:18 

Last change ttme : 2021-05-26 11:38:S8 

# 在 RouterA 的 接口 GE2/0/00 上 执行 shutdown 命令 ， 模 拟 Router A 出 现 故 障 。 
[RouterA] interface glgabitethernet 2/0/0 
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[RouterA-GigabitEthernet2/0/0] shutdown 
[RouterA-GigablitEthernet2/0/0] qult 
# 在 Router B 上 执行 display vrrp 命令 查看 VRRP 状态 信息 ， 可 以 看 到 Router B 的 状态 是 
Master。 
[RouterB] display vrrp 
GilgablitEthernet2/0/0 | Virtual Router 1 


State : Master 
Virtual IP “了 01 20U 
Master IP 1 同 酌 ， 


PriorityRun : 100 
PriorityConfig : 100 
MasterPriorlty : 100 
Preempt : YES Delay Ime :08 
TimerRun : 1 sS 
TimerConfig : 18 
Auth type : NONE 
Virtual MAC : 0000-Se00-0101 
(CecE 工 工 YE 
Config type : normal-vrrp 
Backup-forward : disabled 
Create time : 2021-0S-11 11:39:18 
Last change time : 2021-03-20 11:38:38 
# 在 RouterA 的 接口 GE2/0/0 上 执行 undo shutdown 命令 ， 等 待 20 秒 后 ， 在 Router A 上 
执行 display vrrp 命令 查看 VRRP 状态 信息 ， 可 以 看 到 Router A 的 状态 恢复 成 Master。 
[RouterA] interface glgabltethernet 2/0/0 
[RouterA-GQlgabltEthernet2/0/0] undo shutdown 
[RouterA-GigabltEthernet2/0/0] qult 
[RouterA] dlsplay vrrp 
GOlgabltEthernet2/0/0 | Virtual Router 1] 


State : Master 
Virtual IP : 10.1.1.200 
Master IP “本 


PriorltyRun : 120 
PriorityConfig : 120 

MasterPriorlty : 120 

Preempt :YES ”Delay Time : 20s 
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TimerRun : 1 S 

TimerConfig : 1 sS 

Auth type : NONE 

Virtual MAC : 0000-S$e00-0101 

Cneeg ITIL TYTES 

Config type : normal-vrrp 
Backup-forward : disabled 

Create time : 2021-0S-11 11:39:18 

Last change ttime : 2021-03-26 11:38:S8 


1.4.6 ”以 太 环 网 保护 技术 


以 太 环 网 技术 日 趋 成 熟 且 成 本 低廉 ， 在 城 域 网 和 企业 网 采用 以 太 环 网 已 经 成 为 一 种 趋势 。 
但 以 太 网 协议 采用 的 报 文 分 发 复制 机 制 在 解决 设备 “相互 认识 ”的 同时 也 容易 引发 “广播 风暴 ”， 
因此 在 以 太 环 网 的 构建 时 就 必须 考虑 采用 什么 样 的 保护 技术 来 避免 此 类 故障 的 产生 。 

通 和 营 情 况 下 ， 解 决 二 层 网 络 环 路 问题 的 技术 是 STP， 因 其 收敛 的 时 间 比 较 长 〈 秒 级 ) ， 并 
不 适用 于 主干 线路 的 保护 。2004 年 6 月 ，IEEE 802.17 标准 规范 了 弹性 分 组 环 (Resilient Packet 
Ring，RPR) 的 介质 访问 控制 方法 、 物 理 层 接口 以 及 层 管 理 参 数 ， 并 提出 了 用 于 环 路 检测 和 配 
署 、 失 效 恢 复 以 及 带宽 管理 的 一 系列 协议 。IEEE 802.17 标准 也 定义 了 环 网 与 各 种 物理 层 的 接口 
和 系统 管理 信息 库 。RPR 支持 的 数据 速率 可 达 10Gbps。RPR 针对 承载 卫 业务 进行 了 优化 ， 是 


一 种 相对 典型 的 以 太 环 网 的 保护 技术 。 
1. 弹性 分 组 环 


RPR 的 体系 结构 如 图 1-27 所 示 。MAC 服务 接口 提供 上 层 协议 的 服务 原 语 ，MAC 控制 子 
层 控 制 MAC 数据 通路 ， 维 护 MAC 状态 ， 并 协调 各 种 MAC 功能 的 相互 作用 ;，MAC 数据 通路 
子 层 提 供 数据 传输 功能 ，MAC 和子 层 通 过 PHY 服务 接口 发 送 /接收 分 组 。 


OSIRM RPR 分 层 


ET 户 2 


MAC 控 制 


MA/ 


物理 层 


逻辑 链 路 控制 子 层 


和 


MAC 数 据 通路 


图 1-27 PRP 体系 结构 
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RPR 采用 了 双环 结构 ， 由 内 层 的 环 1 (Ringlet 1) 和 外 层 的 环 0 (Ringlet 0) 组 成 ， 每 个 环 
都 是 单方 向 传送 ， 如 图 1-28 所 示 。 相 邻 工作 站 之 间 的 跨 距 (Span) 包含 传送 方向 相反 的 两 条 链 
路 〈Link) 。 如 果 X 站 接收 立 站 发 出 的 分 组 ， 则 和 是 YY 的 下 游 站 ， 而 Y 是 X 的 上 游 站 。RPR 
支持 多 达 255 个 工作 站 ， 最 大 环 周 长 为 2000km。 


图 1-28 PRP 拓扑 结构 


RPR 中 包括 如 下 关键 技术 。 

1) 帧 结构 

RPR 位 于 数据 链 路 层 〈Data Link) ， 包 括 逻 辑 链 路 控制 子 层 (LLC) 、MAC 控制 子 层 、 
MAC 数据 通路 子 层 。LLC 与 MAC 控制 子 层 之 间 是 MAC 服务 接口 。MAC 服务 接口 支持 把 来 
自 LLC 的 数据 传送 到 一 个 或 多 个 远 端 同样 的 迎 辑 链 路 控制 子 层 。MAC 控制 子 层 执行 与 特定 小 
环 无 关 的 数据 寻 路 行为 和 维护 MAC 状态 所 需要 的 控制 行为 。MAC 控制 子 层 与 MAC 数据 通道 
子 层 之 间 发 送 或 接收 RPRMAC 帧 .MAC 数据 通路 子 层 则 与 某 个 特定 的 小 环 之 间 执 行 访问 控制 
和 数据 传送 。 物 理 层 服 务 接口 用 于 MAC 数据 通路 子 层 癌 物理 媒介 发 送 或 从 物理 媒介 接收 
RPRMAC 帧 。 

2) RPRMAC 对 数据 帧 的 处 理 方式 

RPRMAC 对 数据 帧 的 处 理 方式 有 上 环 、 下 环 、 过 环 以 及 剥离 4 种 。 

上 环 是 指 本 点 用 户 端口 同 环 上 其 他 站 点 发 送信 息 时 需要 进行 上 环 操作 , 通过 拓扑 发 现 和 路 
由 表 项 决定 其 目的 站 点 地 址 以 及 环 选择 , 根据 对 应 的 优先 级 送 入 相应 的 队列 , 最 后 产生 RPR 帧 
头 后 插入 到 各 环 端 口 。 

下 环 是 指 本 点 从 环 上 接收 其 他 站 点 发 送 过 来 的 到 本 点 的 单 播 帧 或 多 播 帧 , 经 过 StackVLAN 
过 滤 后 接收 。 对 于 单 播 帧 ， 将 其 从 环 上 和 剥离 并 发 送 到 用 户 端口 ;， 对 于 多 播 帧 ， 将 其 友 送 到 用 户 
端口 的 同时 进行 过 环 操 作 。 

过 环 是 指 本 点 从 环 上 接收 的 帧 根据 其 优先 级 (A、B、C) 分 别 放 入 PTQ 和 STQ 转发 通道 ， 
发 送 时 将 PTQ 和 STQ 队列 中 的 数据 帧 直接 插入 源 环 发 送 端口 。 

剥离 是 指 本 点 从 环 上 接收 的 帧 不 再 继续 向 下 传递 ， 到 本 点 终结 。 

3) 公平 得 法 怕 理 

RPR 技术 所 采用 的 公平 算法 是 一 种 保证 环 上 所 有 站 点 之 间 公 平 性 的 机 制 , 通过 这 种 算法 可 
以 达到 带宽 的 动态 调整 和 共享 的 目的 。RPR 公平 算法 的 主要 作用 有 两 个 : 一 是 应 用 于 从 MAC 
客户 来 的 低 优 先 级 服务 和 超额 中 优先 级 服务 〈 即 中 优先 级 服务 中 EIR 数据 帧 ) 的 业务 ， 对 于 也 
类 CIR 以 及 A 类 业务 不 进行 控制 ; 二 是 分 别 控制 两 个 子 环 的 公平 市 宽 ， 即 每 个 RPRMAC 有 两 
个 互相 独立 的 公平 协议 分 别 调整 上 环 的 带宽 。 
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RPR 公平 算法 是 通过 对 阻塞 的 检测 来 触发 带宽 调整 而 实现 的 。 当 环 上 某 一 个 节点 发 生 阻 塞 
时 ， 它 就 会 在 相反 的 环 上 同上 行 节点 发 布 一 个 公平 速率 ， 当 上 行 站 点 收 到 这 个 公平 速率 时 ， 就 
调整 自己 的 发 送 速率 以 不 超过 公平 速率 。 接 收 到 这 个 公平 速率 的 站 点 会 根据 不 同情 况 做 出 两 种 
反应 : 若 当 前 节点 阻塞 ， 它 承 在 自己 的 公平 速率 〈 通 过 本 点 的 add_rate 和 归 一 化 的 权重 得 到 ) 
和 收 到 的 公平 速率 之 间 选 择 最 小 值 公布 给 上 行 节 点 ; 若 当 前 节点 不 阻塞 ， 节 点 就 将 公平 速率 辐 
上 游 继 续 传递 。 

4) 拓扑 发 现 原 理 

通过 RPR 的 拓扑 发 现 原理 ， 可 以 使 每 个 站 点 都 能 了 解 环 的 完整 结构 、 各 点 距离 自身 的 中 
数 以 及 环 上 各 个 站 点 所 有 具备 的 能 力 等 ， 从 而 为 环 选择 、 公 平 算法 、 保 护 等 单元 提供 决策 依据 。 
RPR 拓扑 发 现 是 一 种 周期 性 的 活动 , 但 是 也 可 以 由 某 一 个 需要 知道 拓扑 的 节点 发 起 , 也 就 是 说 ， 
某 个 节点 可 以 在 必要 的 时 候 产生 一 个 拓扑 信息 帧 《如 此 节点 刚刚 进入 RPR 环 中 , 接收 到 一 个 保 
护 切 换 需 求 信 息 或 者 节点 监测 到 了 光纤 链 路 差错 ) 。 

RPR 的 拓扑 信息 产生 周期 可 以 任意 配置 ， 一 般 为 SO0ms~10s， 以 50ms 为 最 小 分 辨 率 ， 默 认 
值 为 100 ms。 

$) 保护 原理 

RPRMAC 层 保护 可 支持 Steering 保护 或 Wrapping 保护 ， 用 户 可 以 指 配 是 否 同 时 采用 
RPRMAC 层 的 保护 和 SDH 物理 层 的 保护 。 当 同时 采用 RPRMAC 层 保护 和 SDH 保护 时 ， 可 以 
采用 拖延 RPR 层 倒 换 时 间 来 文 持 层 间 倒 换 ， 以 保证 两 种 倒 换 不 会 重合 发 生 。 

RPR 的 保护 时 间 有 拖延 时 间 和 等 待 恢复 时 间 两 种 。 拖 延 时 间 为 检测 到 业务 失效 到 局 动 倒 换 
之 间 的 等 待 时 间 《〈 时 间 范 围 为 0~10s， 步 进 级 别 为 100ms) ， 在 这 段 时 间 内 如 果 业 务 恢 复 ， 将 
不 发 生 倒 换 ;， 等 待 恢复 时 间 为 从 故障 恢复 到 业务 故障 状态 清除 (取消 保护 状态 ) 之 间 的 等 待 时 间 
(时 间 范 围 为 0~1440 s， 步 进 级 别 为 秒 级 可 设置 ， 默 认为 108) ， 在 这 段 时 间 内 如 果 业 务 失效 ， 
业务 故障 状态 将 不 再 清除 。 


2. 以 太 网 环保 护 交 换 


在 2008 年 12 月 举行 的 ITU-TSG15 会 议 上 ， 对 以 太 环 网 保护 标准 G8032 的 V1 版 本 进行 
修订 , 增加 以 太 网 环保 护 交 换 (Ethernet Ring Protection Switching, ERPS ) 方 案 , 形 成 ITU-TG.8032 
ERPS 以 太 环 网 标准 ， 该 标准 吸取 了 EAPS、RPR、SDH、STP 等 众多 环 网 保护 技术 的 优点 ， 优 
化 了 检测 机 制 ， 可 以 检测 双 同 故障 ， 文 持 多 环 、 多 域 的 结构 ， 在 实现 S0ms 倒 换 的 同时 ， 文 持 
主 备 、 负 和 谷 分 担 多 种 工作 方式 ， 成 为 二 层 网 络 中 重要 的 元 余 保 护 手段 。 

下 面 按照 链 路 正常 一 链 路 故障 一 链 路 恢复 的 过 程 〈 包 括 保护 倒 换 操 作 ) ， 介 绍 基 本 的 单 环 
组 网 下 ERPS 的 实现 原理 。 

1) 链 路 正常 

如 图 1-29 所 示 ， 由 Switch A 一 Switch E 组 成 的 环 路 上 各 设备 通信 正常 。 为 防止 环 路 产生 ， 
ERPS 首先 会 阻塞 RPL owner 端口 ， 如 果 配 置 了 RPL neighbour 端口 ， 该 端口 同样 会 被 阻塞 ， 其 
他 端口 可 以 正常 转发 业务 流量 。 
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@@ _ Blocked interface 
一 一 ”Data 了 Flow 


图 1-29 部 署 ERPS 的 单 环 组 网 图 〈 链 路 正常 ) 


ERPS 环 上 的 RPL owner 山口 以 Ss 的 时 间 间 隅 为 周期 问 环 中 其 他 节点 发 送 NRRB RAPS 报 
文 ， 表 示 ERPS 环 当前 链 路 一 切 正常 。 

2) 链 路 故障 

如 图 1-30 所 示 ， 当 Switch D 和 Switch 下 之 间 的 链 路 发 生 故 障 时 ，ERPS 协议 启动 保护 倒 
换 机 制 ， 将 故障 链 路 的 两 关 端 口 阻 塞 ， 然 后 放 开 RPL owner 端口 和 RPL neighbour 端口 ， 这 两 
个 端口 重新 恢复 用 户 流量 的 接收 和 发 送 ， 从 而 保证 了 流量 不 中 断 。 有 具体 处 理 过 程 如 下 : 

Switch D 和 Switch E 检测 到 链 路 故障 , 将 故障 链 路 上 的 端口 阻塞 , 并 刷新 本 设备 的 FDB 表 项 。 


@ Biocked interface 
一 天。 Data Flow 
X Failed Link 


图 1-30 ”部署 ERPS 的 单 环 组 网 图 〈 链 路 故障 ) 
然后 ，Switch D 和 Switch E 癌 外 发 送 携带 本 地 端口 链 路 故障 消息 的 SF RAPS 报 文 ， 即 一 


旦 感知 到 链 路 故障 ，Switch D 和 Switch E 会 连续 发 送 3 个 相同 的 RAPS 报 文 ， 然 后 以 Ss 的 间 
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其 他 设备 收 到 Switch D 和 Switch E 发 送 的 SF RAPS 报 文 后 ， 都 刷新 本 设备 的 FDB 表 项 。 
当 Switch C 设备 〈RPL owner 端口 所 在 设备 ) 收 到 该 RAPS 报 文 后 ， 放 开 RPL owner 端口 ， 并 
刷新 自己 的 FDB 表 项 。 同 样 ， 当 Switch B 设备 (RPL neighbour 端口 所 在 设备 ) 收 到 RAPS 报 
文 后 ， 放 开 RPL neighbour 疹 口 ， 并 刷新 目 己 的 FDB 表 项 。 

3) 链 路 恢复 

链 路 恢复 正常 后 ， 如 果 ERPS 环 配置 的 是 回 切 模式 ，RPL owner 端口 所 在 设备 会 重新 阻塞 
RPL 链 路 上 的 流量 ， 故 障 链 路 重新 被 用 来 完成 用 户 流量 的 传送 。 如 果 ERPS 环 配 置 的 是 非 回 切 
模式 ， 阻 塞 链 路 还 保持 在 原来 的 故障 链 路 上 ， 不 会 重新 切 回 到 RPL 上 。 以 回 切 模式 为 例 ， 有 具体 
恢复 过 程 如 下 : 

当 SwitcthD 和 SwitchE 之 间 的 链 路 恢复 后 ,Switch D 和 Switch 三 为 了 防止 收 到 过 期 的 RAPS 
协议 报 文 ， 分 别 启动 Guard Timer 定时 器 ， 在 该 定时 器 超时 前 不 接收 其 他 RAPS 协议 报 文 。 同 
时 Switch D 和 Switch E 会 癌 外 发 送 NR RAPS 报 文 。 

当 RPL owner 端口 所 在 设备 (Switch C) 收 到 NR RAPS 报 文 后 ， 局 动 WTR Timer 定时 器 。 
当 该 定时 器 超时 后 ，RPL owner 端口 被 阻塞 ， 同 时 问 外 发 送 NRRB RAPS 报 文 。 

当 Switch D 和 Switch E 收 到 Switch C 发 送 的 NRRB RAPS 协议 报 文 后 ， 将 自己 设备 上 原 
来 阻塞 的 端口 放 开 ， 停 止 发 送 NR_ RAPS 协议 报 文 并 且 完 成 FDB 表 项 的 刷新 。 其 他 设备 收 到 
Switch C 发 送 的 NRRB RAPS 协议 报 文 后 ， 也 完成 FDB 表 项 的 刷新 。 

4) 保护 倒 换 

(1) 强制 切换 

如 图 1-31 所 示 ， 当 由 Switch A 一 Switch 组 成 的 环 路 上 各 设备 通信 正常 时 ， 在 Switch 了 
设备 与 Switch D 相连 的 端口 上 执行 强制 切换 将 端口 阻塞 ，RPL owner 端口 和 RPL neighbour 冰 
口 同样 会 被 放 开 ， 这 两 个 端口 重新 恢复 用 户 流量 的 接收 和 发 送 ， 从 而 保证 了 流量 不 中 断 。 其 体 
处 理 过 程 如 下 : 

Switch 了 与 Switch D 相连 的 端口 被 强制 阻塞 后 ， 刷 新 本 设备 的 FDB 表 项 。 


@@ Blocked interface 
一 一 ”Data 上 low 


图 1-31 部 署 ERPS 的 二 层 环 网 图 〈 链 路 故障 ) 
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Switch E 向 外 发 送 FS RAPS 报 文 ， 即 一 旦 端口 阻塞，Switch E 会 连续 发 送 3 个 相同 的 SF 
RAPS 报 文 ， 然 后 以 $s 的 间隔 持续 稳定 发 送 SF RAPS 报 文 。 

其 他 设备 收 到 Switch E 发 送 的 FS RAPS 报 文 后 ， 都 刷新 本 设备 的 FDB 表 项 。 当 Switch C 
设备 〈RPL owner 端口 所 在 设备 ) 收 到 该 RAPS 报 文 后 ， 放 开 RPL owner 端口 ， 并 刷新 自己 的 
FDB 表 项 。 同 样 ， 当 Switch B 设备 〈RPL neighbour 端口 所 在 设备 ) 收 到 RAPS 报 文 后 ， 放 开 
RPL neighbour 端口 ， 并 刷新 目 己 的 FDB 表 项 。 

(2) 清除 。 

当 在 Switch E 设备 上 执行 清除 操作 后 ， 被 强制 阻塞 的 端口 会 发 送 NR RAPS 报 文 给 环 上 其 
他 端口 。 

如 果 ERPS 环 配置 的 是 回 切 模式 ，RPL owner 端口 在 收 到 NR RAPS 报 文 后 会 局 动 WTB 
Timer， 在 WTB 定时 堪 超 时 后 ， 强 制 切换 的 操作 会 被 清除 。 此 时 ，RPL owner 闯 口 会 被 重新 阻 
塞 ， 被 强制 阻塞 的 端口 会 被 放 开 。 大 在 WTB Timer 超时 前 ， 在 Switch C 〈RPL owner 端口 所 在 
设备 ) 上 执行 清除 操作 ，RPL owner 端口 会 马上 被 阻塞 ， 被 强制 阻塞 的 端口 被 放 开 。 

如 果 ERPS 环 配置 的 是 非 回 切 模式 而 又 希望 RPL owner 端口 被 重新 阻塞 ， 可 以 在 Switch C 
(RPL owner 端口 所 在 设备 ) 上 执行 清除 操作 。 

(3) 手工 切换 。 

对 ERPS 环 上 端口 执行 手工 切换 阻塞 操作 的 流程 和 强制 切换 类 似 ， 区 别 在 于 如 果 环 的 状态 
不 是 Idle 或 者 Pending 时 ， 手 工 切 换 操作 将 不 发 挥 作用 。 


1.4.7 “ 城 域 网 


城 域 网 比 局 域 网 的 传输 距离 远 ， 能 够 覆盖 整个 城市 范围 ， 城 域 网 有 更 大 的 传输 容量 ， 更 高 
的 传输 效率 ， 还 要 有 多 种 接 入 手段 ， 以 满足 不 同 用 户 的 需要 。 城 域 网 作为 开放 型 的 综合 平台 ， 
要 求 能 够 提供 分 组 传输 的 数据 、 语 音 、 岁 像 和 视频 等 多 媒体 绽 合 业务 。 

城 域 以 太 网 论坛 (Metro Ethernet Forum，MEF) 是 由 网 络 设备 制造 商 和 网 络 运营 商 组 成 的 
非 营利 性 组 织 ， 专 门 从事 城 域 以 太 网 的 标准 化 工作 。MEF 的 承载 以 太 网 〈Carrier Ethernet) 技 
术 规 范 提出 了 以 下 几 种 业务 类 型 。 

(1) 以 太 网 专用 线 (Ethernet Private Line，EPL ) 。 在 一 对 用 户 以 太 网 之 间 建 立 固 定 速率 的 
点 对 点 专线 连接 。 

(2) 以 太 网 虚拟 专线 (Ethernet Virtual Private Line，EVPL ) 。 在 一 对 用 户 以 太 网 之 间 通 过 
第 三 层 技术 提供 点 对 点 的 虚拟 以 太 网 连接 ， 文 持 承 诡 的 信息 速率 (CIR) 、 峰 值 信息 速率 (PIR ) 
和 突 发 式 通信 。 

(3) 以 太 局 域 网 服务 (E-LAN Services) 。 由 运营 商 建 立 一 个 城 域 以 太 网 ， 在 用 户 以 太 网 
之 间 提 供 多 点 对 多 点 的 第 二 层 连接 ， 任 意 两 个 用 户 以 太 网 之 间 都 可 以 通过 城 域 以 太 网 通信 。 

其 中 的 第 3 种 技术 被 认为 是 最 有 前 途 的 解决 方案 。 提 供 E-LAN 服务 的 基本 技术 是 
802.1q 的 VLAN 帧 标记 。 假 定 各 个 用 户 的 以 太 网 称 为 C- 网 ， 运 营 商 建立 的 城 域 以 太 网 称 为 
S- 网 。 如 果 不 同 C- 网 中 的 用 户 要 进行 通信 ， 以 太 帧 在 进入 用 户 网 络 接口 〈User-Network 
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Interface，UNI) 时 被 插入 一 个 S-VID (Server Provider-VLAN ID) 字段 ， 用 于 标识 S- 网 中 
的 传输 服务 ， 而 用 户 的 VLAN 帧 标记 〈C-VID) 则 保持 不 变 ， 当 以 太 帧 到 达 目 标 C- 网 时 ， 
S-VID 字段 被 删除 ， 如 图 1-32 所 示 ， 这 样 束 解决 了 两 个 用 户 以 太 网 之 间 透 明 的 数据 传输 问 
题 。 这 种 技术 定义 在 IEEE 802.1ad 的 运营 商 网 桥 协议 〈Provider Bridge Protocol) 中 ， 被 称 
为 Q-in-Q 拉 术 。 

Q-in-Q 实际 上 是 把 用 户 VLAN 嵌 套 在 城 域 以 太 网 的 VLAN 中 传送 ， 由 于 其 简单 性 和 有 效 
性 而 得 到 电信 运营 商 的 青睐 。 但 是 这 样 一 来 ， 所 有 用 户 的 MAC 地 址 在 城 域 以 太 网 中 都 是 可 见 
的 , 任何 C- 网 的 改变 都 会 影响 到 S- 网 的 配置 , 增加 了 管理 的 难度 。 而且 S-VID 字段 只 有 12 位 ， 
只 能 标识 4096 个 不 同 的 传输 服务 ， 网 络 的 可 扩展 性 也 受到 限制 。 从 用 户 角度 看 ， 网 络 用 户 的 
MAC 地 址 都 骏 露 在 整个 城 域 以 太 网 中 ， 使 得 网 络 的 安全 性 受到 威胁 。 


2 


S-VID tag added S-VID tag removed 
AR 人 ， ， 网 二 EN E 
Customer Provider Customer 
network network network 
UNI UNI 


图 1-32 802.1ad 的 帧 格式 


为 了 解决 上 述 问 题 ，IEEE 802.1ah 标准 提出 了 运营 商 主干 网 桥 (Provider Backbone Bridge， 
PBB ) 协议 。 所 谓 主干 网 桥 ， 就 是 运营 商 网 络 边界 的 网 桥 ， 通 过 PBB 对 用 户 以 太 帧 再 封装 一 层 
运营 商 的 MAC 帧 头 ,添加 主干 网 目标 地 址 和 源 地 址 (B-DA,B-SA)、 主 干 网 VLAN 标识 (B-VID ) 
以 及 服务 标识 〈I-SID ) 等 字段 ， 如 图 1-33 所 示 。 由 于 用 户 以 太 帧 被 封装 在 主干 网 以 太 帧 中 ， 
所 以 这 种 技术 被 称 为 MAC-in-MAC 技术 。 

按照 802.1ah 协议 ， 主 干 网 与 用 户 网 具有 不 同 的 地 址 空间 。 主 和 干 网 的 核心 交换 机 只 处 理 通 
常 的 以 太 网 帧 头 ， 仅 主干 网 边界 交换 机 才 具 有 PBB 功能 。 这 样 ， 用 户 网 和 主干 网 被 PBB 隔离 ， 
使 得 局 平 式 的 以 太 网 变 成 了 层次 化 结构 ， 简 化 了 网 络 管理 ， 保 证 了 网 络 安全 。802.1ah 协议 规定 
的 服务 标识 〈I-SID ) 字段 为 24 位 ， 可 以 区 分 1600 万 种 不 同 的 服务 ， 使 得 网 络 的 扩展 性 得 以 提 
升 。 由 于 采用 了 二 层 技 术 ， 没 有 复杂 的 信 令 机 制 ， 因 此 设备 成 本 和 维护 成 本 较 低 ， 被 认为 是 城 
域 以 太 网 的 最 终 解 决 方案 。 目 前 ，IEEE 802.1ah 标准 正在 完善 之 中 。 
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DA= 用 户 的 目标 地 址 ISID= 服 务 ID 
SA= 用 户 的 源 地 址 “B-VID= 主 干 网 桥 VID 


VID=VLAN ID B-DA= 主 干 网 目标 地 址 通常 的 以 
C-VID= 用 户 的 VID ” B-SA= 主 干 网 源 地 址 太 网 帧 头 
S-VID= 服 务 商 的 VID 

服务 ID 


(a) 802.1 (b ) 802.1q (c) 802.1ad (d) 802.1ah 
图 1-33 ” 城 域 以 太 网 的 帧 格式 


1.5 ”无线 通信 网 络 


1.5.1 无 线 局 域 网 


1. WLAN 的 基本 概念 


无 线 局 域 网 (Wireless Local Area Network，WLAN) 技术 分 为 两 大 阵营 : IEEE 802.11 标准 
体系 和 欧洲 邮电 管理 委员 会 (CEPT) 制定 的 HIPERLAN (High Performance Radio LAN) 标准 
体系 。IEEE 802.11 标准 由 面 问 数据 通信 的 计算 机 局 域 网 发 展 而 来 ， 采 用 无 连接 的 网 络 协议 ， 目 
前 市 场 上 的 大 部 分 产品 都 是 根据 这 个 标准 开发 的 ， HIPERLAN-2 标准 则 是 基于 连接 的 无 线 局 域 
网 ， 致 力 于 面 癌 语音 的 蜂 寅 电话 。 

IEEE 802.11 标准 的 制定 始 于 1987 年 ， 当 初 是 在 802.4 工 小 组 作为 令 牌 总 线 的 一 部 分 来 研 
究 的 ， 其 主要 目的 是 用 作 工 广 设备 的 通信 和 控制 设施 。1990 年 ，IEEE 802.11 小 组 正式 独立 出 
来 ， 专 门 从事 制 定 WLAN 的 物理 层 和 MAC 层 标 准 的 工作 。1997 年 颁布 的 了 EEE 802.11 标准 运 
行 在 2.4GHz 的 ISM (Industrial Scientific and Medical) 频段 ， 采 用 扩 频 通信 技术 ， 文 持 1Mbps 
和 2Mbps 数据 速率 。 随 后 又 出 现 了 几 个 新 的 标准 ，1998 年 推出 的 了 FEE 802.11lb 标准 也 是 运行 
在 ISM 频段 ， 采 用 CCK (Complementary Code Keying) 调制 技术 ， 支 持 $.3Mbps 和 11Mbps 
的 数据 速率 。1999 年 推出 的 IEEE 802.11a 标准 运行 在 U-NII (Unlicensed National Information 
Infrastructure) 频段 ， 采 用 OFDM 调制 技术 ， 文 持 最 高 达 S4Mbps 的 数据 速率 。2003 年 推出 的 
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IEEE 802.11g 标准 运行 在 ISM 频段 ， 与 IEEE 802.11lb 兼容 ， 数 据 速率 提高 到 S4Mbps。 早 期 的 
WLAN 标准 主要 有 4 种 ， 如 表 1-8 所 示 。 


表 1-8 IEEE 802.11 标准 


名 称 发 布 时 间 工作 频段 调制 技术 数据 速率 


站 几 
DB/SK 1Mb 
802.11 1997 年 2.4GHz ISM 频段 PS 
DQPSK 2Mbps 
802.1l1b ”| 1998 年 2.4GHz ISM 频段 5.3Mbps，11Mbps 


802.11a 1999 年 SGHz U-NII 频段 OFDM S$4Mbps 
802.11g 2003 年 2.4GHz ISM 频段 OFDM 54Mbps 


IEEE 802.11 定义 了 两 种 无 线 网 络 拓扑 结构 ， 一 种 是 基础 设施 网 络 (Infrastructure 
Networking) ， 另 一 种 是 特殊 网 络 (Ad Hoc Networking) ， 如 图 1-34 所 示 。 在 基础 设施 网 络 中 ， 
无 线 终端 通过 接 入 点 (Access Point，AP) 访问 骨干 网 设备 。 接 入 点 如 同一 个 网 桥 ， 它 负责 在 
802.11 和 802.3 MAC 协议 之 间 进 行 转换 。 一 个 接 入 点 履 盖 的 区 域 叫 作 一 个 基本 服务 区 〈Basic 
Service Area，BSA) ， 接 入 点 控制 的 所 有 终端 组 成 一 个 基本 服务 集 (Basic Service Set，BSS) 。 
把 多 个 基本 服务 集 互 相连 接 就 形成 了 分 布 式 系统 (Distributed System，DS) 。DS 支持 的 所 有 
服务 叫 作 扩展 服务 集 (Extended Service Set，ESS) ， 它 由 两 个 以 上 BSS 组 成 ， 如 图 1-35 所 示 。 


(a ) 基础 设施 网 络 (b ) Ad Hoc 网 络 
图 1-34 IEEE 802.11 定义 的 网 络 拓扑 结构 


扩展 服务 集 ESS 服务 器 上 


图 1-3$5 IEEE 802.11 定义 的 分 布 式 系统 


第 1 章 ， 计 算 机 网 络 基础 


Ad Hoc 网 络 是 一 种 点 对 点 连接 ， 不 需要 有 线 网 络 和 接 入 点 的 支持 ， 终 端 设备 之 间 通 过 
无 线 网 卡 可 以 直接 通信 。 这 种 拓扑 结构 适合 在 移动 情况 下 快速 部 署 网 络 。802.11 支持 单 跳 
的 Ad Hoc 网 络 ， 当 一 个 无 线 终 端 接 入 时 首先 寻找 来 自 AP 或 其 他 终端 的 信 标 信号 ， 如 果 找 
到 了 信 标 ， 则 AP 或 其 他 终端 就 宣布 新 的 终端 加 入 了 网 络 ; 如 果 没 有 检测 到 信 标 ， 该 终端 就 
自行 宣布 存在 于 网 络 之 中 。 还 有 一 种 多 跳 的 Ad Hoc 网 络 ， 无 线 终端 用 接力 的 方法 与 相距 很 
远 的 终端 进行 对 等 通信 。 

无 线 网 可 以 按照 使 用 的 通信 技术 分 类 。 现 有 的 无 线 网 主要 使 用 3 种 通信 技术 : 红外 线 、 扩 
展 频谱 和 军 带 微波 技术 。 


2. IEEE 802.11 的 体系 结构 


802.11WLAN 的 协议 栈 如 图 1-36 所 示 。MAC 层 分 为 MAC 子 层 和 MAC 管理 子 层 。MAC 
子 层 负责 访问 控制 和 分 组 拆 装 ，MAC 管理 子 层 负责 ESS 漫游 、 电 源 管理 和 登记 过 程 中 的 关 
联 管理 。 物 理 层 分 为 物理 层 会 聚 协 议 (Physical Layer Convergence Protocol，PLCP) 、 物 理 介 
质 相 关 (了 Physical Medium Dependent，PMD ) 子 层 和 PHY 管理 子 层 。PLCP 主要 进行 载波 监 
听 和 物理 层 分 组 的 建立 ，PMD 用 于 传输 信号 的 调制 和 编码 ， 而 PHY 管理 子 层 负责 选 择 物 理 
信道 和 调谐 。 妇 外 ，IEEE 802.11 还 定义 了 站 管理 功能 ， 用 于 协调 物理 层 和 MAC 层 之 间 的 交 


下 作 用 ， 
人 FE 
图 1-36”_WLAN 协议 模型 
1) 物理 层 


IEEE 802.11 定义 了 3 种 PLCP 帧 格式 来 对 恬 3 种 不 同 的 PMD 子 层 通信 技术 。 

(1) FHSS《〈 跳 频 技术 ) 。 对 应 于 FHSS 通信 的 PLCP 帧 格式 如 图 1-37 所 示 。SYNC 是 0 
和 1 的 序列 ， 共 80 位 ， 作 为 同步 信号 。SFD 的 位 模式 为 0000110010111101， 用 作 帧 的 起 始 符 。 
PLW 代表 上 长 度 ， 共 12 位 ， 所 以 帧 最 大 长 度 可 以 达到 4 096 字 节 。PSF 是 分 组 信 令 字段 ， 用 来 
标识 不 同 的 数据 速率 。 起 始 数据 速率 为 1Mbps， 以 0.5 的 步 长 递增 。PSF=0000 时 代表 数据 速率 
为 1Mbps，PSF 为 其 他 数值 时 则 在 起 始 速 率 的 基础 上 增加 一 定 倍数 的 步 长 。 例 如 PSF=0010， 则 
1Mbps+ 0.SMbpsx2=2Mbps; 若 PSF=1111， 则 1Mbps+0.SMbpsx15S=8.SMbps。16 位 的 CRC 是 为 
了 保护 PLCP 头 部 所 加 的 ， 它 能 纠正 2 位 错 。MPDU 代表 MAC 协议 数据 单元 。 


SYNC (80) |SFD (16) | PLW(12) |PSF(4) |CRC(16) | MPDU (到 4096 字 节 ) 


图 1-37 用 于 FHSS 方式 的 PLCP 帧 
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在 2.402GHz 一 2.480GHz 之 间 的 ISM 频带 中 分 布 着 78 个 1MHz 的 信道 , PMD 层 可 以 采用 
以 下 3 种 跳 频 模 式 之 一 ， 每 种 跳 频 模式 在 26 个 频 点 上 跳跃 : 


0 3 06， 9 2 15，18，…， 600，63，8 的 ， 的 ，72， 人 万 j 
(1 了 yy 10，13，16，19，…w Dll，64，67，70，13，，70) 
25 3 8 11， 二 ，17， 加 2 063，68，7 了 1 允 77) 


具体 采用 哪 一 种 跳 频 模式 由 PHY 管理 子 层 决 定 。3 种 跳 频 点 可 以 提供 3 个 BSS 在 同一 小 
区 中 共存 。IEEE 802.11 还 规定 ， 跳 跃 速率 为 2.$ 跳 / 秒 ， 推 荐 的 上 发送 功率 为 100mW。 

(2) DSSS 〈 直 接 序列 扩 频 技术 ) 。 图 1-32 所 示 为 采用 DSSS 通信 时 的 帧 格式 ， 与 前 一 种 
不 同 的 字段 解释 如 下 : SFD 字段 的 位 模式 为 1111001110100000。Signal 字段 表示 数据 速率 ， 步 
长 为 100kbps， 比 FHSS 精确 5 倍 。 例 如 Signal 字段 =00001010 时 ，10x100kbps=1Mbps;， Signal 
字段 =00010100 时 ，20x100kbps=2Mbps;， Service 字段 保留 未 用 。Length 字段 指 MPDU 的 长 度 ， 
单位 为 hs。 


SYNC (128) | SFD (16) |Signal (8) |Service (8) |Length(16) | FCS (8) | MPDU 


图 1-38 ”用 于 DSSS 方式 的 PLCP 帧 
图 1-39 所 示 为 IEEE 802.11 采用 的 直接 系列 扩 频 信号 , 每 个 数据 位 被 编码 为 11 位 的 Barker 
码 ， 图 中 采用 的 序列 为 [1，1，1，-1，-1，-1，1，-1，-1，1，-1]。 码 片 速率 为 11Mc/s， 占 用 的 
带宽 为 260MHz， 数 据 速率 为 1Mbps 和 2Mbps 时 分 别 采 用 差分 二 进 制 相 移 键 控 (DB/SK ) 和 状 
分 四 相 相 移 键 控 (DQPSK ) ， 即 一 个 码 元 分 别 代 表 1 位 或 2 位 数据 。 
数据 位 


图 1-39 DSSS 的 数据 位 和 扩展 位 


ISM 的 2.4GHz 频段 划分 成 11 个 互相 才 盖 的 信道 ， 其 中 心 频 率 间 隔 为 SMHz， 如 图 1-40 
所 示 。 接 入 点 AP 可 根据 干扰 信和 号 的 分 布 在 $ 个 频段 中 选择 一 个 最 有 利 的 频段 。 推 荐 的 发 送 功 
率 为 1mW。 
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FRR 


RPR PASS 
S 
7 
2.412GHz 2.402GOHz 
图 1-40 DSSS 的 履 盖 频段 
(3) DFIR ( 漫 反 射 红 外 线 ) 。 图 1-41 所 示 为 采用 DFIR 时 的 PLCP 帧 格式 。DFIR 的 SYNC 
比 FHSS 和 DSSS 的 都 短 ， 因 为 采用 光敏 二 极 管 检 测 信和 号 不 需要 复杂 的 同步 过 程 。Data rate 字 
段 和 000， 表 示 1Mbps; Data rate 字段 天 001， 表 示 2Mbps。DCLA 是 直流 电 平 调节 字段 ， 通 过 
发 送 32 个 时 了 的 脉冲 序列 来 确定 接收 信和 号 的 电 平 。MPDU 的 长 度 不 超过 2 $00 字 节 。 


_ SYNC (57-73) | SFD (4) | Datarate (3) | DCLA (32) | Length (16) | FCS (16) | MPDU | 
1-41 用 于 DFIR 方式 的 PLCP 帧 


27 MAC 子 层 

MAC 子 层 的 功能 是 提供 访问 控制 机 制 , 它 定 义 了 3 种 访问 控制 机 制 : CSMAVCA 文 持 竞争 
访问 ，RIS/MCTS 和 点 协调 功能 文 持 无 竞争 的 访问 。 

(1) CSMA/CA 协议 。CSMA/VCA 类 似 于 802.3 的 CSMA/CD 协议 ， 这 种 访问 控制 机 制 叫 作 
载波 监听 多 路 访问 /种 突 避 免 协 议 。 在 无 线 网 中 进行 神 突 检测 是 有 困难 的 。 例 如 ， 两 个 站 由 于 距 
离 过 大 或 者 中 间 障 碍 物 的 分 隔 从 而 检测 不 到 冲突 ， 但 是 位 于 它们 之 间 的 第 3 个 站 可 能 会 检测 到 
冲突 ， 这 就 是 所 谓 的 隐蔽 终端 问题 。 采 用 冲突 避免 的 办 法 可 以 解决 隐蔽 终端 的 问题 。802.11 定 
义 了 一 个 帧 间隔 〈Inter Frame Spacing，IFS) 时 间 。 另 外 ， 还 有 一 个 后 退 计 数 器 ， 它 的 初始 值 
是 随机 设置 的 ， 递 减 计 数 直 到 0。 基 本 的 操作 过 程 如 下 : 

G 如 果 一 个 站 有 数据 要 发 送 并 且 监 听 到 信道 已 ， 则 产生 一 个 随机 数 设置 自己 的 后 退 计数 
髓 并 坚持 监听 。 

@ 听 到 信道 空闲 后 等 待 IFS 时 间 ， 然 后 开始 计数 。 最 先 计 数 完 的 站 开始 发 送 。 

G@) 其 他 站 在 听 到 有 新 的 站 开始 发 送 后 暂停 计数 ， 在 新 的 站 发 送 完成 后 再 等 待 一 个 IFS 时 
间 继 续 计 数 ， 直 到 计数 完成 开始 发 送 。 

两 次 IFS 之 间 的 间隔 是 各 个 站 竞争 发 送 的 时 间 。 这 个 算法 对 参与 竞争 的 站 是 公平 的 ， 基 本 
上 是 按 先 来 先 服务 的 顺序 获得 发 送 的 机 会 。 

(2) 分 布 式 协调 功能 。802.11 MAC 层 定义 的 分 布 式 协调 功能 〈Distributed Coordination 
Function，DCF ) 利用 了 CSMA/CA 协议 ， 在 此 基础 上 又 定义 了 点 协调 功能 〈Point Coordination 
Function，PCF) ， 如 图 1-42 所 示 。DCEF 是 数据 传输 的 基本 方式 ， 作 用 于 信道 觉 争 期 。PCEF 工 
作 于 非 竞 争 期 。 两 者 总 是 交替 出 现 ， 先 由 DCEF 竞争 介质 使 用 权 ， 然 后 进入 非 竞 争 期 ， 由 PCF 
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控制 数据 传输 。 


图 1-42 ”MAC 层 功 能 模型 


为 了 使 各 种 MAC 操作 互相 配合 ，IEEE 802.11 推荐 使 用 3 种 帧 间隔 〈IFS) ， 以 便 提 供 基 
于 优先 级 的 访问 控制 。 

e。 DIFS (分 布 式 协调 IFS) : 最 长 的 IFS， 优 先 级 最 低 ， 用 于 异步 帧 竞争 访问 的 时 延 。 

e。 ， PIFS〈 点 协调 IFS) : 中 等 长 度 的 IFS， 优 先 级 居中 ， 在 PCEF 操作 中 使 用 。 

e。 SIFS〈 短 IFS) : 最 短 的 IFS， 优 先 级 最 高 ， 用 于 需要 立即 啊 应 的 操作 。 

DIFS 用 在 前 面 介 绍 的 CSMA/VCA 协议 中 ， 只 要 MAC 层 有 数据 要 发 送 ， 承 监听 信道 是 否 空 
闲 。 如 果 信 道 空 亲 ， 等 待 DIFS 时 段 后 开始 发 送 ， 如 果 信 道 忙 ， 就 继续 监听 并 采用 前 面 介绍 的 
后 退 算法 等 待 ， 直 到 可 以 发 送 为 止 。 

IEEE 802.11 还 定义 了 带 有 应 答 帧 (ACK) 的 CSMA/CA。 图 1-43 所 示 为 AP 和 终端 之 间 
使 用 带 有 应 答 帧 的 CSMA/VCA 进行 通信 的 例子 。AP 收 到 一 个 数据 帧 后 等 待 SIFS 再 发 送 一 个 应 
答 帧 ACE 。 由 于 SIFS 比 DIFS 小 得 多 ,所 以 其 他 终端 在 AP 的 应 答 帧 传送 完成 后 才能 开始 新 的 


萝 争 过 程 。 


终端 MS AP 
图 1-43 带 有 ACK 的 数据 传输 


SIFS 也 用 在 RIS/MCTS 机 制 中 ， 如 图 1-44 所 示 。 源 终端 先 发 送 一 个 “请 求 发 送 ” 帧 RTS， 
其 中 包含 源 地 址 、 目 标 地 址 和 准备 发 送 的 数据 帧 的 长 度 。 目 标 终 端 收 到 RIS 后 等 待 一 个 SIFS 
时 间 ， 然 后 发 送 “ 人 允许 发 送 ” 帧 CTS。 源 终端 收 到 CTS 后 再 等 待 SIFS 时 间 ， 就 可 以 发 送 数据 
帧 了 。 目 标 终端 收 到 数据 帧 后 也 等 待 SIFS， 发 回应 答 帧 。 其 他 终端 发 现 RIS/CTS 后 就 设置 一 


第 1 章 “计算 机 网 络 基础 “用 量 5 国 


个 网 络 分 配 矢量 (Network Allocation Vector，NAV) 信和 号， 该 信号 的 存在 说 明 信 道 忙 ， 所 有 终 
新 不 得 和 争 用 信道 。 


源 目标 
图 1-44 RTS/MCTS 工作 机 制 


(3 ) 点 协调 功能 。PCF 是 在 DCEF 之 上 实现 的 一 个 可 选 功能 。 所 谓 点 协调 就 是 由 AP 集中 轮 
询 所 有 终端 ,为 其 提供 无 竞争 的 服务 , 这 种 机 制 适 用 于 时 间 敏 感 的 操作 。 在 轮 询 过 程 中 使 用 PIFS 
作为 帧 间隔 时 间 。 由 于 PIFS 比 DIFS 小 ， 所 以 点 协调 能 够 优先 CSMA/CA 获得 信道 ， 并 把 所 有 
的 异步 帧 都 推 后 传送 。 

在 极端 情况 下 ， 点 协调 功能 可 以 用 连续 轮 询 的 方式 排除 所 有 的 异步 帧 。 为 了 防止 这 种 情况 
的 发 生 ，802.11 又 定义 了 一 个 称 为 超级 帧 的 时 间 间 隔 。 在 此 时 段 的 开始 部 分 ， 由 点 协调 功能 吕 
所 有 配置 成 轮 询 的 终端 发 出 轮 询 。 随 后 在 超级 帧 余下 的 时 间 人 允许 异步 帧 竞争 信道 。 

3) MAC 管理 

MAC 管理 子 层 的 功能 是 实现 登记 过 程 、ESS 漫游 、 安 全 管理 和 电源 管理 等 功能 。WLAN 
是 开放 系统 ， 各 站 点 共享 传输 介质 ， 而 且 通 信 站 具有 移动 性 ， 因 此 ， 必 须 解 决 信 息 的 同步 、 漫 
游 、 保 密 和 节能 问题 。 

《15 登记 过 程 。 

信 标 是 一 种 管理 帧 ， 由 AP 定期 发 送 ， 用 于 时 间 同 步 。 信 和 标 还 用 来 识别 AP 和 网 络 ， 其 中 
包含 基站 ID、 时 间 惟 、 睡 眠 模式 和 电源 管理 等 信息 。 

为 了 得 到 WLAN 提供 的 服务 ， 终 端 在 进入 WLAN 区 域 时 ， 必 须 进 行 同步 搜索 以 定位 AP， 
并 获取 相关 信息 。 同 步 方 式 有 主动 扫描 和 被 动 扫 拉 两 种 。 

所 谓 主动 扫描 就 是 终端 在 预定 的 各 个 频道 上 连续 扫描 ， 发 射 探 试 请 求 帧 ， 并 等 待 各 个 AP 
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的 响应 帧 ; 收 到 各 AP 的 啊 应 帧 后 ， 工 作 站 将 对 各 个 帧 中 的 相关 部 分 进行 比较 以 确定 最 佳 AP。 

终端 获得 同步 的 另 一 种 方法 是 被 动 扫描 。 如 果 终 端 已 在 BSS 区 域 ， 那 么 它 可 以 收 到 各 个 
AP 周期 性 发 射 的 信 标 帧 ， 因 为 帧 中 含有 同步 信息 ， 所 以 工作 站 在 对 各 帧 进行 比较 后 ， 确 定 最 
佳 AP。 

终 冰 定 位 了 AP 并 获得 了 同步 信息 后 就 开始 了 认证 过 程 ， 认 证 过 程 包括 AP 对 工作 站 喘 份 
的 确认 和 共享 密 钥 的 认证 等 。 

认证 过 程 结束 后 就 开始 关联 过 程 ， 关 联 过 程 包括 终端 和 AP 交换 信息 ， 在 DS 中 建立 终端 
和 AP 的 映射 关系 ，DS 将 根据 该 映射 关系 来 实现 相同 BSS 及 不 同 BSS 间 的 信息 传送 。 关 联 过 
程 结束 后 ， 工 作 站 残 能 够 得 到 BSS 提供 的 服务 了 。 

(2) 移动 方式 。 

IEEE 802.11 定义 了 3 种 移动 方式 : 无 转移 方式 ， 是 指 终 端 是 固定 的 ， 或 者 仅 在 BSA 内 部 
移动 ; BSS 转移 ， 是 指 终 端 在 同一 个 ESS 内 部 的 多 个 BSS 之 间 移 动 ; ESS 转移 ， 是 指 从 一 个 
ESS 移动 到 夯 一 个 ESS。 

当 终端 开始 漫游 并 逐渐 远离 AP 时 ， 它 对 AP 的 接收 信和 号 将 变 坏 ， 这 时 终端 启动 扫描 功能 
重新 定位 AP， 一 旦 定位 了 新 的 AP， 工 作 站 随即 向 新 AP 发 送 重 新 连接 请 求 ， 新 AP 将 该 终端 
的 重新 连接 请 求 通知 分 布 式 系 统 (DS) ，DS 随即 更 改 该 工作 站 与 AP 的 映射 关系 ， 并 通知 原 
来 的 AP 不 再 与 该 工作 站 关联 。 然 后 ， 新 AP 回 该 终端 发 射 重 新 连接 啊 应 。 人 至此， 完成 漫游 过 
程 。 如 条 工作 站 没有 收 到 重新 连接 啊 应 ， 它 将 重 局 扫 拉 功能， 定位 其 他 AP， 重 复 上 述 过 程 ， 
直到 连接 上 新 的 AP。 

(3) 安全 管理 。 

无 线 传输 介质 使 得 所 有 符合 协议 要 求 的 无 线 系 统 均 可 在 信号 履 善 范围 内 收 到 传输 中 的 数 
据 包 ， 为 了 达到 和 有 线 网 络 同等 的 安全 性 能 ，IEEE 802.11 采取 了 认证 和 加 密 措 施 。 

认证 程序 控制 WLAN 接 入 的 能 力 ， 这 一 过 程 被 所 有 无 线 终端 用 来 建立 合法 的 身份 标志 ， 
如 果 AP 和 工作 站 之 间 无 法 完成 相互 认证 ， 那 么 它们 就 不 能 建立 有 效 的 连接 。IEEE 802.11 协议 
支持 多 个 不 同 的 认证 过 程 ， 并 且 人 允许 对 认证 方案 进行 扩充 。 

IEEE 802.11 提供 了 有 线 等 效 保密 〈Wired Equivalent Privacy，WEP) 技术 ， 又 称 无 线 加 密 
协议 〈Wireless Encryption Protocol) 。WEP 包括 共享 密 钥 认证 和 数据 加 密 两 个 过 程 ， 前 者 使 得 
没有 正确 密 钥 的 用 户 无 法 访问 网 络 ， 后 者 则 要 求 所 有 数据 都 必须 用 密 文 传输 。 

认证 过 程 采用 了 标准 的 询问 / 啊 应 方式 ，AP 运用 共享 密 钥 对 128 字 节 的 随机 序列 进行 加 密 
后 作为 询问 帧 发 给 用 户 ， 用 户 将 收 到 的 询问 帧 解密 后 以 明文 形式 啊 应 ;AP 将 收 到 的 明文 与 原 
始 随机 序列 进行 比较 ， 如 果 两 者 一 致 ， 则 认证 通过 。 有 关 WLAN 的 安全 问题 ， 将 在 下 面 进 一 
步 论 述 。 

(4) 电源 管理 。 

IEEE 802.11 允许 空闲 站 处 于 睡眠 状态 ， 在 同步 时 钟 的 控制 下 周期 性 地 唤醒 处 于 睡眠 态 的 
空 亲 站 ， 由 AP 发 送 的 信 标 帧 中 的 TIM (业务 指 示 表 ) 指示 是 否 有 数据 暂 存 于 AP， 若 有 ， 则 向 
AP 友 探 询 帆 ， 并 从 AP 接收 数据 ， 然 后 进入 睡眠 态 ， 者 无 ， 则 立即 进入 睡眠 态 。 
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3. 移动 Ad Hoc 网 络 


IEEE 802.11 标准 定义 的 Ad Hoc 网 络 是 由 无 线 移动 节点 组 成 的 对 等 网 , 无须 网 络 基 础 设施 
的 支持 ,能 够 根据 通信 环境 的 变化 实现 动态 重 构 , 提供 基于 多 跳 无 线 连接 的 分 组 数据 传输 服务 。 
在 这 种 网 络 中 ， 每 一 个 节点 既是 主机 ， 又 是 路 由 器 ， 它 们 之 间 相 互 转发 分 组 ， 形 成 一 种 自 组 织 
的 MANET (Mobile Ad Hoc Network) 网 络 ， 如 图 1-45 所 示 。 

MANET 网 络 的 部 普 非 党 便捷 和 灵活 ， 因 而 在 战场 网 络 、 传 感 器 网 络 、 灾 难 现场 和 车 辆 通 
信 等 方面 有 独 广 泛 的 应 用 。 


图 1-44 _ MANET 网 络 


与 传统 的 有 线 网 络 相 比 ，MANET 有 以 下 特点 : 
e。 网 络 拓扑 结构 是 动态 变化 的 ， 由 于 无 线 终端 的 频繁 移动 ， 可 能 导致 节点 之 间 的 相互 位 
置 和 连接 关系 难以 维持 稳定 。 
e。 无线 信 道 提 供 的 带宽 较 小 ， 而 信号 衰落 和 噪声 干扰 的 影 啊 却 很 大 。 由 于 各 个 终 冰 信 号 
禾 盖 范围 的 差别 ， 或 者 地 形 地 物 的 影响 ， 还 可 能 存在 单 癌 信道 。 
e。 ”无线 终 痕 携 融 的 电源 能 量 有 限 ， 应 采用 最 节能 的 工作 方式 ， 因 而 要 尽量 减 小 网 络 通信 
开销 ， 并 根据 通信 距离 的 变化 随时 调整 发 射 功率 。 
e。 ”由 于 无 线 链 路 的 开放 性 ， 容 易 招致 网 络 罚 听 、 欺 驹 、 拒 绝 服务 等 恶意 攻击 的 威胁 ， 所 
以 需要 特别 的 安全 防护 措施 。 
目前 ， 已 经 提出 了 各 种 MANET 路 由 协议 ， 用 户 可 以 根据 采用 的 路 由 策略 和 适应 的 网 络 结 
构 对 其 进行 分 类 。 根 据 路 由 策略 可 分 为 表 驱 动 的 路 由 协议 和 源 路 由 协议 ;根据 网 络 结构 可 以 划 
分 为 扁平 的 路 由 协议 、 分 层 的 路 由 协议 和 基于 地 理 信息 的 路 由 协议 。 表 驱动 路 由 和 源 路 由 都 是 
书 平 的 路 由 协议 。 
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1.5.2 ”无线 个 人 网 


IEEE 802.15 工作 组 负责 制定 无 线 个 人 网 (Wireless Personal Area Network，WPAN ) 的 技术 
规范 。 这 是 一 种 小 范围 的 无 线 通信 系统 , 覆盖 半径 仅 10m 左右 , 可 用 来 代替 计算 机 、 手 机 、PDA、 
数码 相机 等 智能 设备 的 通信 电线， 或 者 构成 无 线 传 感 器 网 络 和 智能 家 庭 网 络 等 。 

在 人 手 可 及 的 范围 内 ， 多 个 电子 设备 可 以 组 成 一 个 无 线 Ad Hoc 网 络 ，802.15 把 这 种 网 络 
叫 作 Piconet， 通 称 微微 网 。802.15.3 给 出 的 Piconet 网 络 模型 如 图 1-46 所 示 。 这 种 网 络 的 特点 
是 各 个 电子 设备 可 以 独立 地 互相 通信 ， 其 中 一 个 设备 可 以 作为 通信 控制 的 协调 器 ， 负 责 网 络 定 
时 和 回电 子 设备 发 放 令 牌 ， 获 得 令 牌 的 设备 才 可 以 发 送 通信 请 求 。 通 信 控 制 的 协调 器 还 具有 管 
理 QoS 需求 和 调节 电源 功 耗 的 功能 .IEEE 802.15.3 定义 了 微微 网 的 介质 访问 控制 协议 和 物理 层 
技术 规范 ， 适 合 于 多 媒体 文件 传输 的 需求 。 


图 1-46 “Piconet 网 络 模型 


1. 蓝牙 技术 


1998 年 $ 月 ， 爱 立信 、IBM、Itel、 东 艺 和 诡 基 亚 $ 家 公司 联合 推出 了 一 种 近 距 离 无 线 数 
据 通 信 技 术 ， 其 目的 被 确定 为 实现 不 同 工 业 领域 之 间 的 协调 工作 ， 例 如 可 以 实现 计算 机 、 无 线 
手机 和 汽车 电话 之 间 的 数据 传输 。 行 业 组 织 人 员 用 哈 拉 和 尔 德 国王 的 外 号 来 命名 这 项 新 技术 ， 取 
其 “统一 ”的 含义 ， 这 样 就 诞生 了 “蓝牙 ” (Bluetooth) 这 一 极 具 表 现 力 的 名 字 。 后 来 成 立 的 
赣 牙 技术 联盟 (SIG) 负责 技术 开发 和 通信 协议 的 制定 ，2001 年 ， 蓝 牙 1.1 版 被 颁布 为 IEEE 
802.15.1 标准 。 同 年 ， 加 盟 蓝牙 SIG 的 成 员 公司 超过 2000 家 。 

1) 核心 系统 体系 结构 

根据 IEEE 802.15.1-2005 版 描述 的 MAC 和 PHY 技术 规范 , 蓝牙 核心 系统 的 体系 结构 如 图 
1-47 所 示 。 最 下 面 的 Radio 层 相 当 于 OSI 的 物理 层 ， 其 中 的 RF 模块 采用 2.4GHz 的 ISM 频段 
实现 跳 频 通信 (FHSS) ， 信 和 号 速率 为 1Mbps， 数 据 速 率 为 1Mbps。 
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图 1-47 ”蓝牙 核心 系统 体系 结构 


在 多 个 设备 共享 同一 物理 信道 时 ， 各 个 设备 必须 由 一 个 公共 时 钟 同步 ， 并 调整 到 同样 的 跳 
频 模式 。 提 供 同 步 参照 点 的 设备 叫 作 主 设备 ， 其 他 设备 则 是 从 设备 。 以 这 种 方式 取得 同步 的 一 
组 设备 构成 一 个 微微 网 ， 这 是 监 牙 技 术 的 基本 组 网 模式 。 

微微 网 中 的 设备 采用 的 具体 跳 频 模式 由 设备 地 址 字段 指明 的 算法 和 主 设备 的 时 钟 共同 决 
定 。 基 本 的 跳 频 模式 包含 由 伪 随 机 序列 控制 的 79 个 频率 。 通 过 排除 干扰 频率 的 目 适 应 技术 可 
以 改进 通信 效率 ， 并 实现 与 其 他 ISM 频段 设备 的 共存 。 

物理 信道 被 划分 为 时 槽 ， 数 据 被 封装 成 分 组 ， 每 个 分 组 占用 一 个 时 槽 。 如 果 情 况 允 许 ， 一 
系列 连续 的 时 槽 可 以 分 配给 单个 分 组 使 用 。 在 一 对 收发 设备 之 间 可 以 用 时 分 多 路 (TID ) 方式 
实现 全 双 工 通信 。 

物理 信道 之 上 是 各 种 链 路 和 信道 层 及 其 有 关 的 协议 。 以 物理 信道 为 基础 ， 向 上 依次 形成 的 
信道 层次 为 物理 信道 、 物 理 链 路 、 逻 辑 传输 、 逻 辑 链 路 和 L2CAP (Logical Link Control and 
Adaptation Protocol) 信道 ， 如 图 1-48 所 示 。 
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ACL 一 Asynchronous Connection-Oriented Logilcal transport 
SCO 一 Synchronous Connection-Oriented 

eSCO 一 extended SCO 

ASB 一 Active Slave Broadcast 〈 无 连接 ) 

PSB 一 Parked Slave Broadcast 〈 无 连接 ) 


图 1-48 ”传输 体系 结构 实体 及 其 层次 


在 物理 信道 的 基础 上 ， 可 以 在 一 个 从 设备 和 主 设 备 之 间 生 成 物理 链 路 。 一 条 物理 链 路 可 以 
文 持 多 条 逻辑 链 路 ， 只 有 逻辑 链 路 才 可 以 进行 单 播 同 步 通信 、 异 步 等 时 通信 或 者 广播 通信 ， 不 
同 的 逻辑 链 路 用 于 文 持 不 同 的 应 用 需求 。 尿 辑 链 路 的 特性 由 与 其 相关 联 的 逻辑 传输 决定 。 所 谓 
的 逻辑 传输 实际 上 是 尿 辑 链 路 传输 特性 的 形式 表现 ， 不 同 的 逻辑 传输 在 流量 控制 、 应 答 和 重 传 
机 制 、 序 列 号 编码 以 及 调度 行为 等 方面 有 所 区 别 ， 用 于 文 持 不 同类 型 的 逻辑 链 路 。 异 步 面 问 连 
接 的 逻辑 传输 ACL 用 来 传送 管理 信 令 ， 而 同步 面向 连接 的 逻辑 传输 SCO 用 于 传送 64kbps 的 
PCM 话音 。 具 有 其 他 特性 的 逻辑 传输 用 来 支持 各 种 单 播 的 和 广播 的 、 可 靠 的 和 不 可 靠 的 、 分 组 
的 和 不 分 组 的 数据 流 。 

基带 层 和 物理 层 的 控制 协议 叫 作 链 路 管理 协议 LMP 〈Link Manager Protocol) ， 用 于 控制 
设备 的 运行 ， 并 提供 底层 设施 (PHY 和 BB) 的 管理 服务 。 每 个 处 于 活动 状态 的 设备 都 具有 一 
个 默认 的 ACL 用 于 支持 LMP 信念 的 传送 。 默 认 的 ACL 是 当 设备 加 入 微微 网 时 随即 产生 的 ， 
南 要 时 可 以 动态 生成 一 条 示 和 辑 传输 来 传送 同步 数据 流 。 

逻辑 链 路 控制 和 上 自 适 应 协议 L2CAP 是 对 应 用 和 服务 的 抽象 ， 其 功能 是 对 应 用 数据 进行 分 
段 和 重 装配 ， 并 实现 轴 辑 链 路 的 复 用 。 提 交 给 L2CAP 的 应 用 数据 可 以 在 任何 文 持 L2CAP 的 还 
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辑 链 路 上 传输 。 

核心 系统 只 包含 4 个 低层 功能 及 其 有 关 的 协议 。 最 下 面 的 3 层 通 第 被 组 合成 一 个 子 系统 ， 
构成 了 监 牙 控制 器 ， 而 上 面 的 L2CAP 以 及 更 高 层 的 服务 都 运行 在 主机 中 。 赣 牙 控 制 器 与 高 层 
之 间 的 接口 叫 作 主机 控制 器 接口 HCI (Host Controller Interface) 。 

设备 之 间 的 互 操作 通过 核心 系统 协议 实现 ， 主 要 的 协议 有 RF (Radio Frequency) 协议 、 
链 路 控制 协议 LCP (Link Control Protocol) 、 链 路 管理 协议 LMP 和 L2CAP 协议 。 

核心 系统 通过 服务 访问 点 〈SAP) 提供 服务 ， 如 网 1-47 中 的 椭圆 所 示 。 所 有 的 服务 分 为 
3 类 : 

e。 “设备 控制 服务 : 改变 设备 的 运行 方式 。 

e。 传输 控制 服务 : 生成 、 修 改 和 释放 通信 载体 〈 信 道 和 链 路 ) 。 

e。 数据 服务 : 把 数据 提交 给 通信 载体 来 传输 。 

主机 和 控制 大 通过 HCI 通信 。 通 单 ， 控 制 右 的 数据 缓冲 能 力 比 主机 小 ， 因 而 L2CAP 在 把 
协议 数据 单元 提交 给 控制 器 使 其 传送 给 对 等 设备 时 要 完成 简单 的 资源 管理 功能 , 包括 对 L2CAP 
服务 数据 单元 (SDU) 和 协议 数据 单元 (PDU) 分 段 ， 以 便 适 合 控制 器 的 缓冲 区 管理 ， 并 保证 
需要 的 服务 质量 〈QoS ) 。 

基 珊 层 协议 提供 了 基本 的 ARQ 功能 ,然而 L2CAP 还 可 以 提供 任 选 的 差错 检测 和 重 传 功能 ， 
这 对 于 要 求 低 误 码 率 的 应 用 是 必要 的 补充 。L2CAP 的 任 选 特性 还 包括 基于 窗口 的 流量 控制 功 
能 ， 用 于 接收 设备 的 绥 剖 区 管理 。 这 些 任 选 特 性 在 某 些 应 用 场景 中 对 于 保障 QoS 是 必需 的 。 

2) 核心 功能 模块 

(1 ) 信道 管理 器 : 负责 生成 、 管 理 和 释放 用 于 传输 应 用 数据 流 的 L2CAP 信道 。 信 道 管理 
俘 利 用 L2CAP 协议 与 远方 的 对 等 设备 交互 作用 ， 生 成 L2CAP 信道 ， 并 将 其 端点 连接 到 适当 的 
实体 。 信 道 管 理 器 还 与 本 地 的 LM 交互 作用 ， 必 要 时 生成 新 的 逻辑 链 路 ， 并 配置 这 些 迎 辑 链 路 ， 
以 提供 需要 的 Qos 服务 。 

(2) L2CAP 资源 管理 器 : 把 L2CAP 协议 数据 单元 分 段 ， 并 按照 一 定 的 顺序 提交 给 基 送 
层 ， 而 且 还 要 进行 信道 调度 ， 以 保证 一 定 QoS 的 L2CAP 信道 不 会 被 物理 信道 〈 由 于 资源 耗 尽 ) 
所 拒绝 。 这 个 功能 是 必要 的 ， 因 为 体系 结构 模型 并 不 保证 控制 右 具 有 无 限 的 组 种 区 ， 也 不 保证 
HCI 管道 具有 无 限 的 带宽 。L2CAP 资源 管理 器 的 另 一 个 功能 是 实现 通信 策略 控制 ， 避 免 与 邻居 
的 QoS 设置 上 友 生 冲突 。 

(3) 设备 管理 需 : 负责 控制 设备 的 一 般 行 为 。 这 些 功能 与 数据 传输 无 天， 例如 发 现 临近 的 设 
备 是 否 出 现 ， 以 便 连 接 到 其 他 设备 ,或 者 控制 本 地 设备 的 状态 , 使 其 可 以 与 其 他 的 设备 建立 连接 。 
设备 管理 器 可 以 癌 本 地 的 基 珊 资源 管理 器 请 求 传输 介质 ， 以 便 实 现 目 己 的 功能 。 设 备 管 理 器 也 要 
根据 HCI 命令 控制 本 地 设备 的 行为 ， 并 管理 本 地 设备 的 名 字 以 及 设备 中 存储 的 链 路 密 钥 。 

(4) 链 路 管理 器 (LM) : 负责 生成 、 修 改 和 释放 逻辑 链 路 及 其 相关 的 逻辑 传输 ， 并 修改 
设备 之 间 的 物理 链 路 参数 。 本 地 LM 模块 通过 与 远程 设备 的 LM 进行 LMP 通信 来 实现 目 己 的 
功能 。LMP 协议 可 以 根据 请 求生 成 新 的 馆 辑 链 路 和 巡 辑 传输 ， 并 对 链 路 的 传输 属性 进行 配置 ， 
例如 可 以 实现 逻辑 传输 的 加 密 、 调 整 物理 链 路 的 发 送 强 度 以 便 节 约 能 源 、 改 变 逻 辑 链 路 的 QoS 
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配置 等 。 

(5$) 基带 资源 管理 器 : 负责 对 物理 层 的 访问 。 它 有 两 个 主要 功能 : 其 一 是 调度 功能 ， 即 对 
发 出 访问 请 求 的 各 方 实体 分 配 物 理 信道 的 访问 时 段 ; 其 二 是 与 这 些 实体 协商 包含 QoS 承 诡 的 访 
问 合同 。 访 问 合 同和 调度 功能 涉及 的 因素 很 多 ， 包 括 实现 数据 交换 的 各 种 正常 行为 ， 罗 辑 传输 
的 特性 的 设置 ， 轮 询 履 盖 范 围 内 的 设备 ， 建 立 连接 ， 设 备 的 可 发 现 、 可 连接 状态 管理 ， 以 及 在 
自动 跳 频 模 式 下 获取 未 经 使 用 的 载波 等 。 

在 某 些 情况 下 ， 巡 辑 链 路 调度 的 结果 可 能 是 改变 了 目前 使 用 的 物理 链 路 ， 例 如 在 由 多 个 微 
微 网 构成 的 散射 网 〈scatternet) 中 ， 使 用 轮 询 或 呼叫 过 程 扫描 可 用 的 物理 信道 时 都 可 能 出 现 这 
种 情况 。 当 物理 信道 的 时 模 错 位 时 ， 资 源 管理 器 要 把 原来 物理 信道 的 时 模 与 新 物理 信道 的 时 覃 

(6) 链 路 控制 器 : 负责 根据 数据 负载 和 物理 信道 、 辑 传输 和 逻辑 链 路 的 参数 对 分 组 进行 
编码 和 译 码 。 链 路 控制 器 还 执行 LCP 信 令 ， 实 现 流 量 控制 ， 以 及 应 答 和 重 传 功能 。LCP 信和 令 的 
解释 体现 了 与 基 珊 分 组 相关 的 轴 辑 传 输 特性 ， 这 个 功能 与 资源 管理 器 的 调度 有 关 。 

(7) RF: 这 个 模块 用 于 发 送 和 接收 物理 信道 上 的 数据 分 组 。BB 与 RF 模块 之 间 的 控制 通 
路 用 来 控制 载波 定时 和 频率 选择 。REF 模块 把 物理 信道 和 BB 上 的 数据 流转 换 成 需要 的 格式 。 

3) 数据 传输 结构 

核心 系统 提供 各 种 标准 的 传输 载体 ， 用 于 传送 服务 协议 和 应 用 数据 。 在 图 1-49 中 ， 圆 角 
方 框 表示 核心 载体 ， 而 应 用 则 画 在 图 的 左边 。 通 信 类 型 与 核心 载体 的 特性 要 进行 匹 配 ， 以 便 实 
现 最 有 效率 的 数据 传输 。 

L2CAP 服务 对 于 异步 的 〈asynchronous) 和 等 时 的 〈isochronous) 用 户 数据 提供 面 回 帧 的 
传输 。 面向 连接 的 L2CAP 信道 用 于 传输 点 对 点 单 播 数据 。 无 连接 的 L2CAP 信道 用 于 广播 数据 。 
L2CAP 信道 的 QoS 设置 定义 了 帧 传送 的 限制 条 件 ， 例 如 可 以 说 明 数 据 是 等 时 的 ， 因 而 必须 在 
其 有 限 的 生命 期 内 提交 ;或 者 指示 数据 是 可 靠 的 ， 必 须 无 差错 地 提交 。 

如 果 应 用 不 要 求 按 帧 提交 数据 ， 也 许 是 因为 帧 结构 被 包含 在 数据 流 内 ， 或 者 数据 本 喘 是 纯 
流 式 的 ， 这 时 不 应 使 用 L2CAP 信道 ， 而 应 直接 使 用 BB 逻辑 链 路 来 传送 。 非 帧 的 流 式 数 据 使 用 
SCO 逻辑 传输 。 

核心 系统 支持 通过 SCO (SCO-S) 或 扩展 的 SCO 〈eSCO-S) 直接 传输 等 时 的 和 固定 速率 
的 应 用 数据 。 这 种 逻辑 链 路 保留 了 物理 信道 的 带宽 ， 提 供 了 由 微微 网 时 钟 锁定 的 固定 速率 。 数 
据 的 分 组 大 小 、 传 输 的 时 间 间 隔 ， 这 些 参数 都 是 在 信道 建立 时 协商 好 的 。eSCO 链 路 可 以 更 灵 
活 地 选择 数据 速率 ， 而 且 通 过 有 限 的 重 传 提 供 了 更 大 的 可 靠 性 。 

应 用 从 BB 层 选择 最 适当 的 逻辑 链 路 类 型 来 传输 它 的 数据 流 。 通 常 , 应 用 通过 成 帧 的 L2CAP 
单 播 信道 向 远 处 的 对 等 实体 传输 C 平面 信息 。 如 果 应 用 数据 是 可 变速 率 的 ， 则 只 能 把 数据 组 织 
成 帧 通过 L2CAP 信道 传送 。 

RF 信道 通 第 是 不 可 靠 的 。 为 了 殉 服 这 个 缺陷 ， 系 统 提 供 了 多 种 级 别 的 可 靠 性 措施 。BB 分 
组 头 使 用 了 纠 错 编码 ， 并 且 配 合 头 校 验 和 来 发 现 残 余 差 错 。 某 些 BB 分 组 类 型 对 负载 也 进行 纠 
错 编码 ， 还 有 的 BB 分 组 类 型 使 用 循环 元 余 校 验 码 来 发 现 错误 。 
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应 用 核心 


记 辑 链 路 逻辑 传输 
管理 器 


通信 类 型 ; [一 二 省 | L2C 
| | 人 
高 民 队 议 信 令 
可 靠 的 异步 - 
成 帧 的 用 户 数据 上 ACT 
有 限 延迟 的 不 可 靠 的 | ， 
异步 成 帧 的 用 户 数据 
口 A 


CE 


esSCO | -S 


同步 用 户 数据 


不 可 靠 的 异步 
成 帧 的 用 户 数 据 


活动 广播 ASB 


微微 网 广播 


字母 C 表 示 承 载 LMP 报 文 的 控制 链 路 
字母 U 表 示 承 载 用 户 数据 的 L2CAP 链 路 
字母 S 表 示 承 载 无 格式 同步 或 等 时 数据 的 流 式 链 路 


图 1-49 通信 载体 


在 ACL 逻辑 传输 中 实现 了 ARQ 协议 ， 通 过 目 动 请 求 重 发 来 纠正 错误 。 对 于 延迟 敏感 的 分 
组 ， 不 能 成 功 发 送 时 立即 丢弃 。eSCO 链 路 通过 有 限 次 数 的 重 传 方案 来 改进 可 徘 性 。L2CAP 提 
供 了 附加 的 差错 控制 功能 ， 用 于 检测 偶然 出 现 的 兰 错 ， 这 对 于 茶 些 应 用 是 有 用 的 。 


2. ZigBee 技术 


ZigBee 是 基于 IEEE 802.1$.4 开发 的 一 组 关于 组 网 、 安 全 和 应 用 软件 的 技术 标准 。802.15.4 
与 ZigBee 的 角色 分 工 如 同 802.11 与 Wi-Fi 的 关系 一 样 。802.15.4 定义 了 低速 WPAN 的 MAC 和 
PHY 标准 ， 而 ZigBee 联盟 则 对 网 络 层 协议 、 安 全 标准 和 应 用 架构 〈Profile) 进行 了 标准 化 ， 并 
制定 了 不 同 制造 商 产 品 之 间 的 互 操 作 性 和 一 致 性 测试 规范 。 

ZigBee 联盟 由 Ember、Emerson、Freescale 等 12 家 半导体 器 件 和 控制 设备 制造 商 发 起 ， 加 
盟 的 公司 有 300 多 家 ， 其 主要 任务 如 下 : 

e。 定义 ZigBee 的 网 络 层 、 安 全 层 和 应 用 层 标准 。 

e。 提供 互 操作 性 和 一 致 性 测试 规范 。 

e。 促进 ZigBee 品牌 的 全 球 化 市 场 保证 。 

e。 管理 ZigBee 技术 的 演变 。 

1-50 所 示 为 ZigBee 联盟 指导 委员 会 定义 的 ZigBee 技术 规范 (2005) ， 描 述 了 ZigBee 
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网 络 的 基础 结构 和 可 利用 的 服务 .网 1-5$0 下 面 两 块 是 IEEE 802.15.4 定义 的 MAC 和 了 PHY 标准 ， 
上 面 是 ZigBee 联盟 定义 的 网 络 层 和 应 用 层 , 其 中 的 应 用 对 象 由 网 络 开 发 商定 义 。 开 发 商 可 提供 
多 种 应 用 对 象 ， 以 满足 不 同 的 应 用 需求 。ZigBee 网 络 层 (NWK) 提供 了 建立 多 跳 网 络 的 路 由 
功能 。 应 用 层 (APL ) 包含 了 应 用 支持 子 层 (APS) 和 ZigBee 设备 对 象 (ZDO) ， 以 及 各 种 可 
能 的 应 用 。ZDO 的 作用 是 提供 全 面 的 设备 管理 ，APS 的 功能 是 对 ZDO 和 各 种 应 用 提供 服务 。 


应 用 层 (APL ) 
应 用 架构 


| | 802.15.4 标 准 


| | ZigBee 联 盟 ZigBee 
设备 对 象 

国 国 开发 雄 定义 

C_ 7) 层 间接 口 


隔 避 凡 于 0QGZ 


冰 膝 渍 冰 清 上 内 灯 


NWK 
报 文 代理 


24GHz Radio] 物理 层 (PHY ) [5655515MHZRadig 


图 1-50 ZigBee 协议 栈 


ZigBee 的 安全 机 制 分 散在 MAC、NWK 和 APS 层 ， 分 别 对 MAC 帧 、NWK 帧 和 应 用 数据 
进行 安全 保护 。APS 子 层 还 提供 建立 和 维护 安全 关系 的 服务 。ZigBee 设备 对 象 (ZDO ) 管理 安 
全 策略 和 设备 的 安全 配置 。 

ZigBee 的 网 络 层 和 MAC 层 都 使 用 局 级 加 密 标 准 AES， 以 及 结合 了 加 密 和 认证 功能 缠 
CCM*# 分 组 加 密 算法 。 分 组 加 密 也 称 块 加 密 〈Block Cipher) ， 其 操作 方式 是 将 明文 按照 分 组 算 
法 划分 为 128 位 的 区 块 ， 对 各 个 区 块 分 别 进行 加 密 ， 整 个 密 文 形成 一 个 密码 块 链 。 

ZigBee 协调 堪 管理 网 络 的 路 由 功能 ， 其 路 由 表 结 构 如 图 1-51 所 示 。 其 中 的 地 址 字段 采用 
16 位 的 短 地 址 ，3 位 状态 位 指示 的 状态 如 下 : 

(1) 0x0， 活 动 。 

(2) 0xl1: 正在 发 现 。 
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(3) 0x2: 发 现 失败 。 
(4) 0x3， 不 活动 。 
($) 0x4 一 0x7:， 保留 。 


ZigBee 采用 的 路 由 算法 是 按 需 分 配 的 距离 天 量 协议 AODV。 当 NWK 数据 实体 要 及 送 数据 
分 组 时 ， 如 果 路 由 表 中 不 存在 有 效 的 路 由 表 项 ， 则 首先 要 进行 路 由 发 现 ， 并 对 找到 的 各 个 路 由 
计算 通路 费用 。 
假设 长 度 为 工 的 通路 尸 由 一 系列 设备 ID,D:…Do] 组 成 , 如 条 用 [Di, Di 表示 两 个 设备 之 间 
的 链 路 ， 则 通路 费用 可 计算 如 下 : 
c 四 -到 ctp,D 


其 中 ，C{[LD,，,D 表示 链 路 费用 。 链 路 7 的 费用 C{ 用 下 面 的 函数 计算 ; 


本 
min| 7,7round| 一 一 
忆 
其 中 ， 忆 表示 在 链 路 ! 上 可 进行 分 组 提交 的 概率 。 


可 见 ， 链 路 的 费用 与 链 路 上 可 提交 分 组 的 概率 的 4 次 方 成 反比 ， 一 条 通路 的 费用 的 值 位 于 
区 间 |0.…7] 中。 


1.5.3 ”WiMAX 网 络 


1. WiMAX 技术 


WiMAX (World Interoperability for Microwave Access) 基于 IEEE802. 16 标准 。802.16 工 
作 组 是 IEEE-SA 在 1999 年 成 立 的 专门 开发 宽带 固定 无 线 技术 标准 的 ， 目 标 就 是 要 建立 一 个 全 
球 统一 的 宽带 无 线 接 入 标准 。 而 WiMAX 组 织 也 是 为 了 实现 这 一 目标 而 由 几 家 世界 知名 企业 友 
起 成 立 的 。 随 着 WiMAX 组 织 的 发 展 壮大 ， 加 快 了 802.16 标准 的 发 展 ， 特 别 是 移动 WiMAX-- 
802.16e 标准 的 提出 更 加 引 人 注 意 。 

IEEE 802.16 标准 又 称 为 IEEE Wireless MAN 空中 接口 标准 ， 是 工作 于 2GHz~66GHz 无 线 
频带 的 空中 接口 规范 。 由 于 它 所 规定 的 无 线 系 统 履 盖 范 围 可 禹 达 S0km， 因 此 802.16 系统 主要 
应 用 于 城 域 网 , 符合 该 标准 的 无 线 接 入 系统 被 视 为 可 与 DSL 竞争 的 最 后 一 公里 宽 市 接 入 解决 方 
案 。 根 据 使 用 频带 高 低 的 不 同 ，802.16 系统 可 分 为 应 用 于 视 距 和 非 视 距 两 种 ， 其 中 使 用 
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2GHz~11GHz 频带 的 系统 应 用 于 非 视 距 (NLOS) 范围 ， 而 使 用 的 10GHz~66GHz 频带 的 系统 
应 用 于 视 距 (LOS) 范围 。 根 据 是 否 文 持 移动 特性 ，802.16 标准 又 可 分 为 固定 宽带 无 线 接 入 衬 
中 接口 标准 和 移动 宽带 无 线 接 入 空中 接口 标准 。 

当前 , 在 IEEE 802.16 协议 中 规定 WiMAX 支持 的 业务 类 型 和 使 用 的 无 线 信道 频率 如 表 1-9 
所 示 。 


表 1-9 IEEE 802.16 的 工作 频率 
空中 接口 标准 支持 业务 
IEEE 802.16 固定 宽带 无 线 接 入 
IEEE 802.16a 固定 宽带 无 线 接 入 
IEEE 802.16c 固定 宽带 无 线 接 入 的 兼容 性 
IEEE 802.16d 固定 宽带 无 线 接 入 的 修订 


IEEE 802.16e 移动 宽带 无 线 接 入 


而 现在 WiMAX 网 络 的 相关 标准 也 在 不 断 发 展 ，IEEE 802.16 标准 系列 到 目前 为 止 包括 
802.16、802.16a、802.16c、802.16d4、802.16e、802.16f 和 802.16sg 七 个 标准 ， 各 标准 相对 应 的 
技术 领域 如 表 1-10 所 示 。 


表 1-10 IEEE 802.16 系列 各 标准 相对 应 的 技术 领域 


标准 号 相对 应 的 技术 领域 
IEEE 802.16 10GHz~66GHz 固定 宽带 无 线 接 入 系统 空中 接口 
IEEE 802.16a 2GHz~11GHz 固定 宽带 无 线 接 入 系统 空中 接口 
IEEE 802.16c 10GHz~66GHz 固定 宽带 无 线 接 入 系统 的 兼容 性 
IEEE 802.16d 2GHz~66GHz 固定 宽 珊 无 线 接 入 系统 空中 接口 


IEEE 802.16e 2GHz~6GHz 固定 和 移动 宽带 无 线 接 入 系统 空中 接口 管理 信息 库 
IEEE 802.16f 固定 宽 闪 无 线 接 入 系统 空中 接口 管理 信息 库 〈MIB ) 要 求 
IEEE 802.16g 固定 和 移动 宽带 无 线 接 入 系统 空中 接口 管理 平面 流程 和 服务 


2. 802.16 标准 的 网 络 结构 


WiMAX 网 络 体系 结构 如 图 1-52 所 示 。 

WiMAX 网 络 体系 结构 包括 核心 网 络 、 基 站 (BS) 、 用 户 基 站 〈SS) 、 接 力 站 (RS) 、 
用 户 终端 设备 (CTE) 以 及 网 管 。 

WiMAX 连接 的 核心 网 络 通常 为 传统 交换 网 或 Internet。WiMAX 系统 提供 核心 网 与 基站 之 
间 的 接口 ， 但 WiMAX 系统 不 包括 核心 网 络 。 

基站 提供 用 户 基站 与 核心 网 络 之 间 的 连接 ， 通 常 采用 扇形 、 定 向 或 全 向 天 线 。WiMAX 基 
站 可 提供 灵活 的 子 信 道 部 署 与 配置 功能 ， 能 够 使 运营 商 根据 所 拥有 的 频段 资源 灵活 规划 信道 珊 
宽 ， 并 根据 用 户 群 体 情 况 不 断 地 升级 扩展 网 络 。 

用 户 基站 提供 基站 与 用 户 终端 设备 之 间 的 中 继 连 接 。IEEE 802. 16 用 户 基站 通常 采用 固定 
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天 线 ， 并 安装 在 屋顶 上 。 基 站 与 用 户 基站 间 采 用 动态 适应 信号 调制 模式 ， 这 种 模式 使 得 基站 根 
据 信 号 强 弱 调整 到 每 个 用 户 基站 的 带宽 ， 以 确保 与 用 户 基站 的 正常 连接 。 


工 E 了 E 
图 1-532” WiMAX 网 络 结构 示意 图 

接力 站 通常 用 于 提高 基站 的 履 盖 能 力 ， 也 就 是 充当 一 个 基站 和 若干 个 用 户 基 站 【或 用 户 终 
端 设 备 ) 间 信 息 的 中 继 站 。 接 力 站 面 癌 用 户 侧 的 下 行 频率 可 以 与 其 面 癌 基站 的 上 行 频率 相同 ， 
也 可 以 不 同 。 

WiMAX 系统 定义 用 户 终端 设备 与 用 户 基站 间 的 连接 接口 ， 提 供用 户 终 端 设备 的 接 入 。 

网 管 系统 用 于 监视 和 控制 网 络 内 所 有 的 基站 和 用 户 基站 , 提供 查询 、 状 态 监 控 、 软 件 下 载 、 
系统 参数 配置 等 功能 。 

在 IEEE 802. 16d 及 以 前 的 版 本 中 ，WiMAX 系统 不 支持 终端 设备 的 移动 性 ， 一 峡 大 楼 安装 
一 个 SS， 起 到 了 固定 无 线 宽带 接 入 的 作用 。802. 16e 协议 使 网 络 终端 具有 移动 性 ， 终 端 设 备 能 
够 在 BS 之 间 自 由 地 进行 切换 和 漫游 。WiMAX 系统 的 MAC 层 支 持 两 种 网 络 模式 : 点 到 多 点 
(Point to Multi Point，PMP ) 模式 和 Mesh 模式 。 


3. WiMAX 网 络 带宽 请 求 原 理 


1) PMP 模式 带宽 请 求 原 理 

在 WiMAX 网 络 的 PMP 模式 中 ， 基 站 控制 了 上 行 链 路 的 带宽 分 配 ， 各 个 用 户 站 只 能 通过 
时 间 帧 的 上 行 子 帧 癌 基 站 发 送 传输 请 求 。 

当 应 用 程序 通过 用 户 站 访问 网 络 资源 时 ,用 户 站 首先 根据 该 应 用 程序 的 服务 类 型 癌 基 站 发 
起 连接 请 求 。 基 站 根据 相应 的 接 入 控制 算法 决定 是 否 允 许 该 服务 接 入 网 络 ， 并 把 相应 的 请 求 结 
果 发 送 回 用 户 站 。 只 有 当 该 服务 被 接受 时 ， 用 户 站 才能 回 基 站 提出 认 宽 请 求 。 在 WiMAX 网 络 
中 ， 时 间 帧 被 分 为 多 个 小 的 时 间隙 〈Time Slot) ， 基 站 在 收 到 用 户 站 的 带宽 请 求 后 ， 根 据 特 定 
的 带宽 分 配 算法 为 各 个 用 户 站 分 配 带宽 资源 ， 并 设置 时 间 帧 的 UL_MAP 部 分 来 通知 带宽 分 配 
的 结果 ， 即 各 个 用 户 站 的 可 用 带宽 范围 。 用 户 站 接收 到 来 自 基 站 的 时 间 帧 后 ， 它 将 分 析 时 间 帧 
的 UL_MAP 部 分 来 得 到 下 一 个 时 间 帧 的 帧 结构 ， 从 而 得 到 数据 传输 部 分 的 珊 宽 分 配 信息 。 用 
户 站 只 能 在 其 允许 的 时 间 隐 内 传输 数据 。 
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当 基 站 的 可 用 带宽 资源 充足 时 ， 基 站 将 采用 轮 询 的 方式 过 历 各 个 用 户 站 ， 并 根据 用 户 
站 的 带宽 需求 向 各 个 用 户 站 提供 带宽 资源 。 当 基站 的 可 用 带宽 资源 处 于 缺乏 状态 时 ， 用 户 
站 通过 竞争 的 方式 获取 网 络 资源 。 用 户 站 在 使 用 竞争 方式 获取 市 宽 资 源 时 ， 不 同 的 用 户 站 
在 请 求 传输 机 会 〈Transmission Opportunities，TO ) 时 会 发 生 请 求 碰撞 。 当 前 ，IEEE 802. 16 
标准 使 用 截断 二 进 制 指数 后 退 的 方式 来 协调 各 个 用 户 站 在 这 宽 请 求 阶 段 和 初始 连接 阶段 产 
生 的 神 突 。 

2) Mesh 模式 总 宽 请 求 原 理 

在 WiMAX 网 络 的 Mesh 模式 中 ， 用 户 站 通过 直 连 或 者 中 继 的 方式 与 其 他 用 户 站 相连 ， 
每 个 用 户 站 与 基站 一 样 ， 既 是 数据 接收 端 又 是 数据 中 转发 送 端 。 当 前 ，Mesh 模式 在 MAC 
层 中 存在 两 种 时 隙 调度 方式 : 集中 式 调 度 (Mesh Centralized Scheduling，Mesh-CS) 和 分 布 
式 调 度 (Mesh Distributed Scheduling，Mesh-DS) 。 各 用 户 站 为 其 频谱 履 盖 范围 内 的 网 络 设 
备 提供 数据 传输 服务 。 

在 Mesh-CsS 调度 方式 中 ，Mesh 基站 根据 各 个 用 户 站 的 珊 宽 请 求 为 各 个 用 户 站 分 配 宽 资 
源 ; 与 WiMAX 网 络 PMP 模式 不 同 的 是 ，Mesh-CS 模式 中 的 基站 并 不 参与 其 管理 用 户 站 的 数 
据 传输 ， 仅 进行 无 线 网 络 的 带宽 分 配 。 

在 Mesh-DS 调度 方式 中 ， 各 个 用 户 站 通过 竞争 的 方式 使 用 无 线 网 络 市 宽 资 源 。 用 户 站 只 
有 与 其 邻居 节点 进行 协商 ， 在 获得 可 用 市 宽 时 阶 的 前 提 下 才能 进行 数据 传输 。 


4. WiMAX 应 用 场景 


WiMAX 作为 城 域 网 接 入 手段 ， 采 用 了 多 种 技术 满足 建筑 物 阻 挡 情 况 下 的 非 视 距 
(CNLOS) 和 阻挡 视 距 〈OLOS) 的 传播 需求 ， 因 此 其 可 以 实现 非 视 距 传输 〈 这 种 情形 下 的 传 
输 距 离 会 缩短 ) 。802.16d 主要 适用 于 无 线 传 输 和 中 小 型 企业 接 入 ，802.16e 主要 适用 于 家 
庭 接 入 和 个 人 终端 ， 文 持 数据 、 语 音 和 视频 等 业务 ， 可 与 2G、3G、WLL、WLAN、NGN 
等 网 络 混 合 组 网 。 

固定 接 入 : 固定 接 入 业务 是 WiMAX 运营 网 络 中 最 基本 的 业务 模型 ， 类 似 于 固定 DSL 或 
电缆 宽带 业务 。 在 这 个 场景 下 ， 不 文 持 便携 式 连接 或 切换 。SS 可 以 选择 或 者 将 连接 改变 到 最 佳 
的 信号 的 基站 。 在 这 个 场景 下 , 在 卫 连接 建立 之 前 ,必须 进行 鉴 权 或 授权 。 终 端 一 般 为 小 盒子 ， 
一 般 有 室外 型 的 ODU 和 和 天线， 市 场 容 量 一 

游牧 式 : 游牧 式 业 务 是 固定 接 入 方式 发 展 的 下 一 个 阶段 ， 终 端 可 以 从 不 同 的 接 入 点 ， 接 入 
一 个 运营 商 的 WiMAX 网 络 , 不 文 持 不 同 基 站 之 闻 的 切换 。 此 种 应 用 可 以 和 固定 接 入 同时 提供 。 

便携 式 : 便携 式 业 务 是 游牧 式 发 展 的 下 一 个 阶段 ， 在 步行 速度 下 具有 有 限 的 切换 能 力 。 当 
终端 静止 不 动 时 ， 便 携 式 业务 的 应 用 模型 与 固定 式 业 务 和 游牧 式 业 务 相 同 。 此 应 用 场景 主要 面 
向 家 庭 接 入 和 商务 人 士 用 户 市 场 ， 终 端 一 般 为 PCMCIA 卡 ， 放 置 在 便携 机 里 ， 市 场 容量 较 大 。 

全 移动 : 文 持 车 速 移 动 下 无 中 断 的 应 用 , 面 同 个 人 用 户 市 场 ,可 漫游 切换 , 终端 一 般 为 PDA， 
市 场 容 量 很 大 。 
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1.5.4 ”移动 通信 网 络 


1. 蜂窝 通信 系统 


1978 年 ， 美 国 贝 尔 实 验 室 开 发 了 高 级 移动 电话 系统 (Advanced Mobile Phone System， 
AMPS) ， 这 是 第 一 个 具有 随时 随地 通信 能 力 的 大 容量 移动 通信 系统 。AMPS 采用 模拟 制式 的 
频 分 双 工 (Frequency Division Duplex, FDD ) 技术 , 用 一 对 频率 分 别提 供 上 行 和 下 行 信 道 。. AMPS 
采用 蜂 守 技 术 解决 了 公用 移动 通信 系统 所 面临 的 大 容量 要 求 与 频谱 资源 限制 的 让 盾 。 到 了 1980 
年 中 期 ， 欧 洲 和 日 本 都 建立 了 第 一 代 蜂 贰 移动 电话 系统 。 

蜂 贰 网 络 把 一 个 地 理 区 域 划分 成 者 干 个 称 为 蜂 宛 的 小 区 〈Cell) 。 在 模拟 移动 电话 系统 中 ， 
一 个 话音 连接 要 占用 一 个 单独 的 频率 。 如 果 把 通信 网 络 履 盖 的 地 区 划分 成 一 个 一 个 的 小 区 ， 则 
在 不 同 小 区 之 间 就 可 以 实现 频率 复 用 。 在 图 1-$3 中 ， 一 个 基站 帮 盖 的 小 区 用 一 个 字母 来 代表 ， 
在 一 个 小 区 内 可 以 用 一 组 频率 提供 一 组 用 户 进行 通话 。 相 邻 小 区 不 能 使 用 相同 的 通信 频率 ， 同 
一 字母 〈 例 如 A) 代表 的 小 区 可 以 使 用 同样 的 通信 和 频率， 使 用 同样 频率 的 小 区 之 间 有 两 个 频率 
不 同 的 小 区 作为 分 隔 。 如 条 要 增加 通信 和 频率 的 复 用 程度 ， 可 以 把 小 区 划分 得 更 小 。 


图 1-53 ”蜂窝 通信 系统 的 频率 复 用 
当 用 户 移动 到 一 个 小 区 的 边沿 时 , 电话 信号 的 衰减 程度 提醒 相 邻 的 基站 进行 切换 (handof 人 ff) 
操作 ， 正 在 通话 的 用 户 就 自动 切换 到 另 一 个 小 区 的 频段 继续 通话 。 切 换 过 程 是 通过 移动 电话 区 
换 局 (MTSO) 在 相 邻 的 两 个 基站 之 间 进 行 的 ， 不 需要 电话 用 户 的 干预 。 


2. 第 二 代 移 动 通信 系统 


第 二 代 移 动 通信 系统 是 数字 蜂窝 电话 ， 在 世界 不 同 的 地 方 采用 了 不 同 的 数字 调制 方式 。 
我 国 最 初 采用 欧洲 电信 的 GSM 〈Global System for Mobile) 系统 和 美国 高 通 公 司 的 码 分 多 址 
CCDMA ) 系统 。 

1) 全 球 移动 通信 系统 GSM 

GSM 系统 工作 在 900MHz 一 1 800MHz 频段 , 无 线 接口 采用 TDMA 技术 ,提供 话音 和 数据 
业务 。 图 1-54 所 示 为 工作 在 900MHz 频段 的 GSM 系统 的 频带 利用 情况 。 
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图 1-$34 _ GSM 的 TDMA 系统 


1-54 中 的 每 一 行 表示 一 个 市 宽 为 200kHz 的 单 工 信道 ，GSM 系统 有 124 对 这 样 的 单 工 
信道 (上行 链 路 890MHz 一 91SMHz， 下 行 链 路 93SMHz 一 960MHz) ， 每 一 个 信道 采用 时 分 多 
路 (CIDMA) 方式 可 文 持 8 个 用 户 会 话 ， 在 一 个 蜂 坑 小 区 中 同时 通话 的 用 户 数 为 124x8=992。 
为 同一 用 户 指定 的 上 行 链 路 与 下 行 链 路 之 间 相 差 3 个 时 槽 ， 如 图 1-$4 中 的 阴影 部 分 所 示 ， 这 是 
因为 终端 设备 不 能 同时 发 送 和 接收 ， 需 要 留 出 一 定时 间 在 上 下 行 信 道 之 间 进 行 切换 。 

2) 码 分 多 址 技术 

美国 高 通 公 司 的 第 二 代数 字 蜂 寺 移 动 通信 系统 工作 在 800MHz 频段 ， 采 用 码 分 多 址 
(CCDMA ) 技术 提供 话音 和 数据 业务 ， 因 其 频率 利用 率 高 ， 所 以 同样 的 频率 可 以 提供 更 多 的 话 
音信 道 ， 而 且 通 话 质 量 和 保密 性 也 较 好 。 

码 分 多 址 〈Code Division Multiple Access，CDMA ) 是 一 种 扩 频 多 址 数字 通信 技术 ， 通 过 
独特 的 代码 序列 建立 信道 。 在 CDMA 系统 中 ， 对 不 同 的 用 户 分 配 了 不 同 的 码 片 序列 ， 使 得 彼此 
不 会 造成 干扰 。 用 户 得 到 的 码 片 序列 由 十 1 和 -1 组 成 ， 每 个 序列 与 本 身 进行 点 积 得 到 十 1， 与 
补 码 进行 点 积 得 到 -1， 一 个 码 片 序列 与 不 同 的 码 片 序列 进行 点 积 将 得 到 0〈 正 交 性 ) 。 例 如 ， 
对 用 户 A 分 配 的 码 片 系列 为 CAI1《〈 表 示 “1”) ， 其 补 码 为 CAo〈 表 示 “0”) : 

(1 写 人 = 一 上 一 |) 

wk 二 二 1 二]) 

对 用 户 B 分 配 的 码 片 序列 为 Cel〈 表 示 “1”) ， 其 补 码 为 Ceo〈 表 示 “0”) : 

1 

Ch = (-1.+1L.-1+1) 

则 计算 点 积 如 下 : 

(MsCAEtL=L==UsCel=-=- = = + 

CAI1。CAo=(-1 .1 一 1 一 1)。(++1 +1 +1 十 1) 14=-1 
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人 

0 

在 人 码 分 多 址 通信 系统 中 ， 不 同 用 户 传输 的 信号 不 是 用 频率 或 时 阶 来 区 分 ， 而 是 使 用 不 同 的 
人 码 片 序 列 来 区 分 。 如 果 从 频 域 或 时 域 来 观察 ， 多 个 CDMA 信号 是 互相 重 登 的 。 接 收 机 用 相关 
右 可 以 在 多 个 CDMA 信号 中 选 出 预定 的 码 型 信号 ， 其 他 不 同 码 型 的 信和 号 因为 和 接收 机 产生 的 
人 码 型 不 同 而 不 能 被 解 调 ， 它 们 的 存在 类 似 于 信道 中 存在 的 噪声 和 干扰 信和 号， 通常 称 之 为 多 址 
干 杭 。 

在 CDMA 蜂 祖 通信 系统 中 , 用 户 之 间 的 信息 传输 是 由 基站 进行 控制 和 转发 的 。 为 了 实现 双 
工 通信 ， 正 辐 传 输 和 反 回 传输 各 使 用 一 个 频率 ， 即 所 谓 的 频 分 双 工 C(FDD) 技术 。 无 论 正 向 传 
得 或 反 加 传输， 除去 传输 业务 信息 外 ， 还 必须 传输 相应 的 控制 信息 。 为 了 传送 不 同 的 信息 ， 需 
要 设置 不 同 的 信道 。 但 是 ，CDMA 通信 系统 既 不 分 频道 又 不 分 时 除 ， 无 论 传输 何 种 信息 的 信道 
都 采用 不 同 的 码 型 来 区 分 。 

3) 第 二 代 移 动 通信 升级 版 2.3G 

2.SG 是 比 2G 速度 快 ， 但 又 慢 于 3G 的 通信 技术 规范 。2.5G 系统 能 够 提供 3G 系统 中 才 
有 的 一 些 功能 ， 例 如 分 组 交换 业务 ， 也 能 共享 2G 时 代 开 发 出 来 的 TDMA 或 CDMA 网 络 。 常 
见 的 2.5SG 系统 是 通用 分 组 无 线 业 务 GPRS (General Packet Radio Service) 。GPRS 分 组 网 络 
重 登 在 GSM 网 络 之 上 ， 利 用 GSM 网 络 中 未 使 用 的 TDMA 信道 为 用 户 提 供 中 等 速度 的 移动 
数据 业务 。 

GPRS 基于 分 组 交换 的 技术 , 也 区 是 说 多 个 用 户 可 以 共享 带宽 , 适合 于 像 Web 浏览 、E-mail 
收发 和 即时 消息 那样 的 共享 带宽 的 间歇 性 数据 传输 业务 。 通 常 ，GPRS 系统 是 按 交换 的 字 节 数 
计 费 ， 而 不 是 按 连 接 时 间 计 费 的 。GPRS 系统 文 持 卫 协议 和 了 PPP 协议 。 理 论 上 的 分 组 交换 速度 
大 约 是 170kbps， 而 实际 速度 只 有 30kbps 一 70kbps。 

对 GPRS 的 射频 部 分 进行 改进 的 技术 方案 称 为 增强 数据 速率 的 GSM 演进 〈Enhanced Data 
Rates for GSM Evolution，EDGE) 。EDGE 又 称 为 增强 型 GPRS (EGPRS) ， 可 以 工作 在 已 经 
部 音 GPRS 的 网 络 上 , 只 需要 对 手机 和 基站 设备 做 一 些 简 单 的 升级 即 可 。EDGE 被 认为 是 2.75G 
技术 ， 采 用 8PSK 的 调制 方式 代替 了 GSM 使 用 的 高 斯 最 小 移 位 键 控 C(GMSK ) 调制 方式 ， 使 得 
一 个 但 元 可 以 表示 3 位 信息 。 从 理论 上 说 ，EDGE 提供 的 数据 速率 是 GSM 系统 的 3 倍 。2003 
年 ，EDGE 被 引入 北美 的 GSM 网 络 ， 文 持 20kbps 一 200kbps 的 高 速 数据 传输 。 


3. 第 三 代 移 动 通信 系统 


1985 年 , ITU 提出 了 对 第 三 代 移 动 通信 标准 的 需求 , 1996 年 正式 命名 为 IMT-2000(Interna- 
tional Mobile Telecommunications-2000) ， 其 中 的 2000 有 3 层 含义 : 

e。 使 用 的 频段 在 2000MHz 附近 。 

e。 通信 速率 大 约 为 2000kbps ( 即 2Mbps) 。 

e。 预期 在 2000 年 推广 商用 。 


国 7> 国 时 网 络 规划 设计 师 教程 (第 2 版 ) 


1999 年 ITU 批准 了 5 个 IMT-2000 的 无 线 电 接口 ， 这 $ 个 标准 如 下 : 

e。 IMT-DS (Direct Spread) : 即 W-CDMA， 属 于 频 分 双 工 模式 ， 在 日 本 和 欧洲 制定 的 
UMTS 系统 中 使 用 。 

e。 IMT-MC (Mnulti-Carrier) : 即 CDMA-2000， 属 于 频 分 双 工 模式 ， 是 第 二 代 CDMA 系 
统 的 继承 者 。 

e IMT-TC (Time-Code) : 这 一 标准 是 中 国 提 出 的 TD-SCDMA， 属 于 时 分 双 工 模式 。 

e。 IMT-SC (Single Carrier) : 也 称 为 EDGE， 是 一 种 2.75SG 技术 。 

e。 IMT-FT (Frequency Time) : 也 称 为 DECT。 

2007 年 10 月 19 日 ,ITU 会 议 批 准 移动 WiMAX 作为 第 6 个 3G 标准 , 称 为 IMT2000 OFDMA 
TDD WMAN， 即 无 线 城 域 网 技术 。 

第 三 代数 字 蜂 窝 通信 系统 提供 第 二 代 蜂 宛 通 信 系 统 提供 的 所 有 业务 类 型 ， 并 文 持 移动 
多 媒体 业务 。 在 高 速 车 辆 行驶 时 支持 144kbps 的 数据 速率 ， 在 步行 和 慢 速 移动 环境 下 支持 
384kbps 的 数据 速率 ， 在 室内 静止 环境 下 支持 2Mbps 的 高 速 数据 传 输 ， 并 保证 可 靠 的 服务 
质量 。 

在 3G 网 络 广泛 部 署 的 同时 , 第 四 代 (4G ) 移 动 通信 系统 也 在 加 紧 研 发 。 高 速 分 组 接 入 (High 
Speed Packet Access，HSPA ) 是 W-CDMA 第 一 个 向 4G 进化 的 技术 ， 继 HSPA 之 后 的 高 速 上 行 
分 组 接 入 〈High Speed Uplink Packet Access，HSUPA) 是 一 种 被 称 为 3.75G 的 技术 ， 在 SMHz 
的 载波 上 数据 速率 可 达 10Mbps 一 13Mbps， 如 采用 MIMO 技术 ， 还 可 以 达到 28Mbps。 

4G 的 传输 速率 应 该 达到 100Mbps， 可 以 把 蓝牙 个 域 网 、 无 线 局 域 网 (Wi-Fi) 和 3G 技术 
等 结合 在 一 起 ， 组 成 无 颖 的 通信 和 解决 方案 。 不 同 的 无 线 通信 系统 对 数据 传输 速度 和 移动 性 的 文 
持 各 不 相同 ， 如 图 1-55 所 示 。 


WiIMAX TI (4G ) 


GSM 
移动 速度 
图 1-55 ”不同 的 无 线 通信 系统 的 通信 速率 和 移动 性 


4.4GLTE 技术 


1) 802.16e 
802.16d 的 OFDM 调制 方式 采用 256 个 子 载波 ,OFDMA 调制 方式 采用 2048 个 子 载波 , 信 
号 市 宽 在 1.23SMHz 一 20MHz 可 变 . 为 了 文 持 移动 性 ,802.16e 对 物理 层 进行 了 改进 ,使 得 OFDMA 
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可 文 持 128、512、1024 和 2048 共 4 种 不 同 的 子 载波 数量 ， 但 子 载波 间隔 不 变 ， 信 和 号 带宽 与 子 载 
波 数量 成 正比 ， 这 种 技术 被 称 为 可 扩展 的 OFDMA (Scalable OFDMA ) 。 采 用 这 种 技术 ， 系 统 可 
以 在 移动 环境 中 灵活 地 适应 信道 带宽 的 变化 。 在 采用 20 MHz 带宽 、64-QAM 调制 的 情况 下 ， 
传输 速率 可 达到 74.81Mbps。 

802.16e 对 MAC 层 的 改进 改变 了 各 个 功能 层 之 间 的 消息 传输 机 制 , 并 实现 了 快速 自动 请 求 
重 传 (ARQ ) 和 资源 预约 功能 ， 以 降低 信道 时 延 的 影响 。 另 外 还 增加 了 针对 上 行 链 路 的 功率 、 
频率 和 时 隐 的 快速 调整 功能 ， 以 适应 快速 移动 的 要 求 。 

现在 的 IEEE 802.16 标准 是 一 种 无 线 城 域 网 技术 ， 与 其 他 的 无 线 接 入 技术 的 应 用 领域 和 服 
务 范围 不 同 。 各 种 无 线 接 入 技术 互相 配合 ， 共 同 提 供 了 从 个 域 网 到 广域网 的 各 种 无 线 宽带 接 入 
服务 ， 如 图 1-$6 所 示 。 


TIRE 了 802.20 WAN as 
移动 宽带 无 线 接 人 黎 兰 沧 于 
MBWA 


TIEFE 802.16 MAN 覆盖 范围 
Wireless MAN 


IEEE 802.11 
WirelessLAN 


IEFEE 802.15 履 盖 范 轩 
Blauetooth 过 10m 


图 1-56 ”各 种 无 线 网 的 作用 范围 


2) WIMAX 工 

WiMAX 的 进一步 发 展 是 与 其 他 B3G (Beyond 3G) 技术 融合 ， 成 为 IMT-Advanced 家 族 的 
成 员 之 一 。ITU-R 对 4G 标准 的 要 求 是 能 够 提供 基于 了 王 的 高 速 声音 、 数 据 和 流 式 多 媒体 服务 ， 
文 持 的 数据 速率 至 少 是 100Mbps， 选 定 的 通信 技术 是 正 交 频 分 多 址 接 入 技术 OFDMA。 

最 初 候选 的 4G 标准 有 3 个 , 即 UMB(Ultra Mobile Broadband)、LIE(Long Term Evolution ) 
和 WiIMAXII (IEEE 802.16m) 。 

超级 移动 宽带 UMB 是 由 以 高 通 公司 为 首 的 3GPP2 组 织 推出 的 CDMA-2000 的 升级 版 
EV-DO REVC。UMB 的 最 高 下 载 速率 可 达到 288Mbps， 最 高 上 传 速率 可 达到 73SMbps， 支 持 的 
终 刀 移动 速率 超过 300km/h。 
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长 期 演进 LTE 是 沿 着 GSM 一 W-CDMA 一 HSPA 一 4G 路 线 发 展 的 技术 ， 是 由 以 欧洲 电信 为 
首 的 3GPP 组 织 启 动 的 新 技术 研发 项 目 。 和 UMB 一 样 ，LTE 也 采用 了 OFDMVOFDMA 作为 物 


理 层 的 核心 技术 。 


2006 年 12 月 批准 的 802.16m 是 向 IMTAdvanced 迈进 的 研究 项 目 。 为 了 达到 4G 的 技术 要 
求 ,IEEE 802.16m 的 下 行 峰值 速率 在 低速 移动 、 热 点 覆盖 条 件 下 可 以 达到 1Gbps, 在 高 速 移动 、 
广 域 覆 盖 条 件 下 可 以 达到 100Mbps。 为 了 辐 前 兼容 ，802.16m 准备 对 802.16e 采用 的 OFDMA 


调制 方式 进行 增补 ， 进 一 步 提 高 系统 吞吐 量 和 传输 速率 。 


2008 年 11 月 ， 高 通 公司 宣布 放弃 UMB 技术 。 鉴 于 IEEE 802.16e 已 跻身 于 3G 标准 行列 ， 
所 以 在 问 4G 迈进 时 代 就 形成 了 LIE-Advanced 与 IEEE 802.16m 竞争 的 格局 ， 它 们 采用 的 关键 


技术 有 许多 共同 之 处 ， 如 表 1-11 所 示 。 


表 1-11 LTE-Advanced 与 IEEE 802.16m 的 技术 比较 


项 目 LTE-Advanced IEEE 802.16m 
SMHz 一 20MHZ 的 抗辩 带宽 ， 特 丈 情 况 
二 道 窗 带 寺 1.2SMHz 一 20MHz 帘 谤 
信道 宽带 文 持 Z z 宽 市 下 可 达 100MHZ 
峰值 速率 下 行 1Gbps， 上 行 S00Mbps 静止 1Gbps， 移 动 100Mbps 


玉 - 泪 台 E 二 
0~15kmh (最 佳 性 能 ) ，0~120kmmh ( 较 好 | 0 一 15kmm 最 佳 性 能 ) ，0 一 120kmA 


移动 性 | we 〈( 较 好 性 能 ) ，120 一 350kmh 〈 保 持 连 
了 性能) ，120 一 350kmh 〈 保 持 连接 不 掉 线 ) 接 不 拓 线 ) 

传输 技术 与 

多 址 技术 下 行 OFDMA， 上 行 SC-FDMA OFDMA 

双 工 方式 FDD 和 TDD 融合 ，FDD 半 双 工 FDD、TDD 和 FDD 半 双 工 

调制 方式 QPSK、16QAM 和 64QAM BPSK、QPSK、16QAM 和 64QAM 


编码 方式 以 Turbo 人 码 为 主 ， LDPC 编译 码 四 卷 积 Turbo 码 和 低 密 度 奇 偶 校 


支持 MIMO 技术 〈 基 站 支持 1、2、4、 
8 根 发 射 天 线 ， 终 端 文 持 1、2、4 根 发 
人 射 天 线 ) 和 AAS 〈 自 适应 线 阵 ) 

Chase 合并 与 增 量 元 余 HARQ， 异 步 HARQ | Chase 合并 ， 异 步 HARQ 和 非 自 适应 
和 上 自 适 应 HARQ HARQ 


基本 MIMO 模型 下 行 4X4， 上 行 2X4 天 


多 天 线 技术 


纠 错 技术 


2013 年 年 底 ， 工 信 部 正式 同 三 大 运营 商 发 放 了 4G 牌照 ， 中 国 移 动 、 中 国电 信和 中 国联 通 
均 获 得 TD-LTE 牌照 ， 中 国 移动 获得 了 130MHz 的 频谱 资源 ， 远 高 于 中 国电 信和 中 国联 通 的 
40MHz， 各 家 运营 商 得 到 的 商用 频段 划分 如 下 : 

(1) 中 国 移 动 : 1880MHz 一 1900MHz、2320MHz 一 2370MHz、2575MHz 一 263SMHz。 
(2) 中 国联 通 : 2300MHz 一 2320MHz、2555$SMHz 一 2575MHz。 

(3) 中 国电 信 : 2370MHz 一 2390MHz、263SMHz 一 265SMHz。 

其 实 ， 对 于 LIE 上 、 下 行 信道 的 划分 可 以 使 用 时 分 多 路 (TDD ) 技术 ， 也 可 以 使 用 频 分 多 
路 (FEDD) 技术 ， 欧 洲 运 营 商 大 多 倾向 于 FEFDD-LITE。 中 国 移动 受 限于 3G 时 代 的 TD-SCDMA 
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网 络 ， 最 初 就 明确 要 建设 TD-LTE 网 络 ， 并 在 全 国 许多 城市 大 规模 建设 TD-LTE 试验 网 ， 而 中 
国联 通 和 中 国电 信和 则 倾 问 于 建设 FDD-LTE 网 络 。 


S. SG 天 键 技术 


5G 是 具有 高 速率 、 低 时 延 和 大 连接 特点 的 新 一 代 宽 带 移动 通信 技术 ， 是 实现 人 机 物 互 联 
的 网 络 基 础 设施 。 作 为 新 一 代 移 动 通信 技术 ， 其 网 络 架构 、 无 线 技术 、 应 用 场景 都 有 了 巨大 的 
改变 , 有 大 量 技术 被 整合 在 其 中 。 与 4G 相 比 ,5G 可 以 提供 小 于 lms 的 端 到 端 时 延 以 及 99.9999% 
的 可 靠 性 ， 极 大 地 丰富 了 网 络 应 用 场景 。5G 的 关键 技术 包括 : 超 密 集 异 构 无 线 网 络 、 大 规模 
多 输入 多 输出 、 毫 米 波 通信 、 软 件 定 义 网 络 和 网 络 功能 虚拟 化 等 。 

1) 超 密集 异 构 无 线 网 络 

异 构 网 络 (Heterogeneous Network，HetNet) 是 面向 未 来 的 创新 移动 宽带 网 络 架 构 ， 由 不 
同 大 小 、 类 型 的 小 区 构成 , 包括 宏 小 区 (Macrocell) 、 微 小 区 (Microcell) 、 微 微小 区 (Picocell) 、 
毫 微微 小 区 〈Femtocell) 。 在 宏 蜂 唤 罗 善 范围 内 部 署 低 功率 节点 ， 通 过 “多 样 化 的 设备 形态 、 
差异 化 的 覆盖 方案 、 多 频段 组 网 方式 ”等 实现 分 层 立 体 网 络 。 在 SG 时 代 ， 移 动 通信 网 络 将 是 
一 种 基于 宏基 站 、 微 站 与 室 分 的 分 层 实 现 信号 乾 兰 的 集 Wi-Fi〈 无 线 连 接 ) 、3SG、LIE 〈 长 期 
演进 ) 等 多 种 网 络 制 式 于 一 身 的 多 元 化 超 密集 异 构 网 络 。 

2) 大 规模 多 输入 多 输出 

大 规模 多 输入 多 输出 (Massive MIMO ) 基础 的 MIMO 技术 已 经 应 用 在 4G 中 。2010 年 ， 贝 
尔 实验 室 提 出 了 大 规模 的 MIMO， 研 究 极端 情况 下 的 多 用 户 多 输入 输出 技术 ， 每 个 基站 在 多 小 
区 的 情况 下 放置 无 限 数量 的 天 线 。 大 规模 MIMO 技术 可 以 由 一 些 并 不 昂贵 的 低 功 耗 的 天 线 组 件 
来 实现 ， 为 实现 在 高 频段 上 进行 移动 通信 提供 了 广阔 的 前 景 ， 它 可 以 成 倍 提升 无 线 频谱 效率 ， 
增强 网 络 覆 辣 和 系统 容量 ， 帮 助 运 营 商 最 大 限度 利用 已 有 站 址 和 频 谐 资源 。 

3) 室 米 波 通信 

训 米 波 是 指 由 3GPP( 第 三 代 合 作 伙 伴 计 划 ) 频 率 规划 的 FR2 频段 (24.25SGHz 一 $2.6 GHz ) 。 
根据 香农 公式 : C=BXlog (1+SN)， 其 中 B 表示 通信 带宽 ，SAN 表示 信 噪 比 ，C 表示 信道 信息 
传送 速率 的 上 限 ， 也 就 是 信道 容量 。 从 公式 可 以 直观 地 看 到 信道 容量 与 通信 带宽 成 正比 ， 毫 米 
波 频 段 能 提供 更 大 的 带宽 ， 而 挖掘 更 大 的 传输 带宽 对 提升 无 线 通信 容量 至 关 重 要 ， 超 高 的 通信 
带宽 可 助力 SG 通信 实现 10 Gbits 的 高 速 宽 带 通信 。 宫 米 波 在 SG 的 多 种 无 线 接 入 技术 县 加 型 
移动 通信 网 络 中 具备 两 个 优势 : 基于 训 米 波 小 基站 可 以 增强 高 速 环境 下 移动 通信 的 使 用 体验 ; 
基于 训 米 波 的 移动 通信 回程 极 大 地 提高 琵 加 型 网 络 的 组 网 的 灵活 性 。 

4) 软件 定义 网 络 

软件 定义 网 络 〈Software Defined Network，SDN) 是 互联 网 发 展 的 一 种 新 技术 。5SG 不 仅 
仅 是 无 线 网 络 的 变化 ， 移 动 网 络 的 其 他 部 分 也 会 发 生 巨 大 的 本 质变 化 。 传 统 互 联网 将 控制 平面 
与 数据 平面 集合 在 一 起 ， 在 设备 内 部 设 有 封闭 式 的 接口 ， 使 得 网 络 封闭 、 开 放 扩 展 性 差 。SDN 
的 引入 改变 了 传统 网 络 的 这 些 缺 陷 ， 驱 动 CT (通信 技术 ) /IT 《互联 网 技术 ) 业务 深度 融合 。 
SDN 控制 下 的 网 络 ， 将 变 得 更 加 简单 ， 网 络 的 灵活 性 、 可 管理 性 和 可 扩展 性 大 幅 提 升 ， 并 且 可 
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以 使 系统 内 设备 达到 从 化 的 效果 ， 便 于 统一 管理 、 快 速 部 署 与 维护 ， 是 网 络 低 成 本 建设 、 高 效 
率 运营 的 主要 策略 。 

5$) 网 络 功能 虚拟 化 

移动 数据 业务 不 断 涌 现 ， 物 联网 业务 大 规模 、 爆 发 式 增 长 ， 对 网 络 的 智能 化 和 灵活 化 提出 
了 更 高 的 标准 。 随 痢 云 计算 的 深入 发 展 和 网 元 功能 的 逐步 简化 、 硬 件 通用 化 ， 网 络 功能 虚拟 化 
(Network Functions Virtualization，NEFV) 应 运 而 生 ， 它 可 以 快速 完成 系统 功能 的 欠 代 及 新 业务 
的 上 线 。 设 备 云 化 后 ， 软 件 和 硬件 彻底 解 簿 ， 各 式 各 样 的 通信 设备 可 以 工作 在 统一 的 硬件 平台 
上 借助 软件 形成 网 络 功 能 ， 大 幅 降 低 网 络 的 建设 投资 和 维护 成 本 。 正 是 基于 这 些 灵 活 的 技术 ， 
使 得 SG 的 多 场景 应 用 成 为 了 现实 。 


1.6 网络 管 理 


1.6.1 网 络 管理 功能 域 


网 络 管理 有 5$ 大 功能 域 ， 即 故障 管理 (Fault Management) 、 配 置 管理 (Configuration 
Management) 、 计 费 管 理 (Accounting Management) 、 性 能 管理 (Performance Management) 
和 安全 管理 〈Security Management) ， 人 简写 为 FCAPS。 传 统 上 ， 人 性 能 、 故 障 和 计 费 管理 属于 网 
络 监视 功能 ， 另 外 两 种 属于 网 络 控制 功能 。 

性 能 管理 可 选择 的 性 能 指标 很 多 ， 对 网 络 管理 有 用 的 两 类 性 能 指标 是 面向 服务 的 性 能 指标 
和 面 问 效率 的 性 能 指标 。 面 癌 服 务 的 性 能 指标 应 具有 较 高 的 优先 级 。 可 用 性 、 响 应 时 间 、 正 确 
性 是 面 回 服务 的 性 能 指标 ， 吞 吐 率 和 利用 率 是 面向 效率 的 性 能 指标 。 

故障 监视 就 是 要 尽快 地 发 现 故 障 ， 找 出 故障 原因 ， 以 便 及 时 采取 补救 措施 。 故 障 管理 可 分 
为 以 下 3 个 功能 模块 : 故障 检测 和 报警 功能 。 故 障 监 视 代 理 要 随时 记录 系统 出 错 的 情况 和 可 
能 引起 故障 的 事件 ， 并 把 这 些 信 息 存 储 在 运行 日 志 数 据 库 中 。 多 故障 预测 功能 。 对 各 种 可 以 引 
起 故障 的 参数 建立 门限 值 ， 并 随时 监视 参数 值 变 化 ， 一 有 旦 超过 门限 值 ， 就 发 送 警 报 。@ 故 障 诊 
呆 和 定位 功能 。 即 对 设备 和 通信 线路 进行 测试 ， 找 出 故障 原因 和 故障 地 点 。 故 障 监 视 还 需要 有 
效 的 用 户 接口 软件 ， 使 得 故 隐 发现 、 诊 断 、 定 位 和 排除 等 一 系列 操作 都 可 以 交互 地 进行 。 

计 费 监视 主要 是 跟踪 和 控制 用 户 对 网 络 资源 的 使 用 ， 并 把 有 关 信 息 存 储 在 运行 日 志 数 据 库 
中 ， 为 收费 提供 依据 。 不 同 的 系统 ， 对 计 费 功能 要 求 的 详尽 程度 也 不 一 样 。 

配置 管理 是 指 初始 化 、 维 护 和 关闭 网 络 设备 或 子 系统 。 被 管理 的 网 络 资源 包括 物理 设备 ( 例 
如 服务 器 、 路 由 器 ) 和 底层 的 逻辑 对 象 〈 例 如 传输 层 定时 器 ) 。 配 置 管理 功能 可 以 设置 网 络 参 
数 的 初始 值 /默认 值 ， 使 网 络 设备 初始 化 时 自动 形成 预定 的 互 连 关 系 。 当 网 络 运行 时 ， 配 置 管理 
监视 设备 的 工作 状态 ， 并 根据 用 户 的 配置 命令 或 其 他 管理 功能 的 请 求 改 变 网 络 配置 参数 。 

时 期 的 计算 机 信息 安全 主要 由 物理 的 和 行政 的 手段 控制 ， 例 如 不 许 未 经 授权 的 用 户 进 入 终 
问 室 〈 物 理 的 ) ， 或 者 对 可 以 接近 计算 机 的 人 员 进行 严 格 审查 等 〈 行 政 的 ) 。 然 而 自从 有 了 网 
络 ， 特 别 是 有 了 开放 的 因特网 ， 情 况 就 完全 不 同 了 。 人 们 迫切 地 需要 自动 的 管理 工具 ， 以 控制 
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存储 在 计算 机 中 的 信息 和 网 络 传输 中 信息 的 安全 。 安 全 管理 提供 这 种 安全 控制 工具 ， 同 时 也 要 
保护 网 络 管理 系统 本 身 的 安全 。 


1.6.2 ”简单 网 络 管理 协议 


TCP/P 网 络 管理 方面 最 初 使 用 的 是 1987 年 11 月 提出 的 简单 网 关 监 控 协 议 (Simple Gateway 
Monitoring Protocol，SGMP ) ， 在 此 基础 上 改进 成 简单 网 络 管理 协议 第 一 版 〈Simple Network 
Management Protocol，SNMPv1) ， 陆 续 公 布 在 1990 年 和 1991 年 的 几 个 RFC (Request For 
Comments) 文件 中 ， 即 RFC 115S$ (CSMI) 、RFC 115S7 (SNMP) 、RFC 1212 (MIB 定义 ) 和 
RFC 1213 〈MIB-2 规范 ) 。 由 于 其 和 单 性 和 易于 实现 ，SNMPv1 得 到 了 许多 制造 商 的 支持 和 广泛 
的 应 用 。 几 年 以 后 ， 在 第 一 版 的 基础 上 改进 功能 和 安全 性 ， 又 产生 了 SNMPv2 〈RFC 1902-1908&， 
1996) 和 SNMPv3 (REFC 2S70-2S75 Apr1999) 。 

在 同一 时 期 , 用 于 监控 局 域 网 通信 的 标准 一 一 远程 网 络 监控 (Remote Monitoring，RMON ) 
也 出 现 了 ， 这 就 是 RMON-1 (1991) 和 了 RMON-2 (1995$) 。 这 一 组 标准 定义 了 监视 网 络 通信 的 
管理 信息 库 ， 是 SNMP 管理 信息 库 的 扩充 ,与 SNMP 协议 配合 可 以 提供 更 有 效 的 管理 性 能 ， 也 
得 到 了 广泛 应 用 。 

另外 ，IEEE 定义 了 局 域 网 的 管理 标准 ， 即 IEEE 802.1b LAMNVMAN 管理 。 这 个 标准 用 于 管 
理 物 理 层 和 数据 链 路 层 的 OSI 设备 ， 因 而 叫 作 CMOL (CMIP overLLC) 。 

为 了 适应 电信 网 络 的 管理 需要 ，ITU-T 在 1989 年 定义 了 电信 网 络 管理 标准 〈Telecommuni- 
cations Management Network，TMN ) ， 即 M.30 建议 〈 蓝 皮 书 ) 。 
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TCP/P 是 事实 上 的 Internet 互 连 标准 ， 共 5 层 ， 但 有 定义 并 制定 了 有 具体 协议 的 是 应 用 层 、 
传输 层 和 网 络 层 〈Internet 层 ) 。 本 章 讲述 计算 机 网 络 的 互 连 设 备 、 接 入 网 技术 、 网 络 层 、 传 输 
层 和 应 用 层 的 相关 协议 和 实现 技术 等 。 


2.1 网 络 互 连 设备 


网 络 互 连 设 备 是 网 络 传输 中 相互 连接 的 便 件 设备 ,包括 中 继 器 、 网 桥 《〈 交 换 机 ) 、 路 由 器 、 
网 关 和 无 线 接 入 点 〈AP) 等 。 

中 继 器 的 功能 是 对 接收 信和 号 进行 再 生 和 发 送 。 中 继 器 不 解释 也 不 改变 接收 到 的 数字 信息 ， 
它 只 是 从 接收 信号 中 分 离 出 数字 数据 ， 存 储 起 来 ， 然 后 重新 构造 它 并 转发 出 去 。 再 生 的 信和 号 与 
接收 信号 完全 相同 ， 并 可 以 治 看 另外 的 网 段 传输 到 远 闫 。 人 集线器 的 工作 怕 理 基本 上 与 中 继 器 相 
同 。 人 简单 地 说 ， 人 集线器 就 是 一 个 多 端口 中 继 器 ， 它 把 一 个 端口 上 收 到 的 数据 广播 发 送 到 其 他 所 
有 端口 上 。 

网 桥 工作 于 数据 链 路 层 ， 用 于 连接 两 个 局 域 网 段 。 网 桥 要 分 析 帧 地 址 字段 ， 以 决定 是 否 把 
收 到 的 帧 转发 到 另 一 个 网 段 上 。 网 桥 检查 帧 的 源 地 址 和 目标 地 址 ， 如 果 目 标 地 址 和 源 地 址 不 在 
同一 个 网 段 上 ， 就 把 帧 转发 到 另 一 个 网 段 上 ; 大 两 个 地 址 在 同一 个 网 段 上 ， 则 不 转发 ， 所 以 网 
桥 能 起 到 过 滤 帧 的 作用 。 以 太 网 中 广泛 使 用 的 交换 机 是 一 种 多 端口 网 桥 ， 每 一 个 端口 都 可 以 连 
接 一 个 局 域 网 ， 交 换 机 是 一 种 基于 MAC 地 址 识别 ， 能 完成 封装 转发 数据 帧 功能 的 网 络 设备 。 
交换 机 可 以 “学 习 ”MAC 地 址 ， 并 把 其 存放 在 内 部 地 址 表 中 ， 通 过 在 数据 帧 的 始 发 者 和 目标 
接收 者 之 闻 建 立 临 时 的 交换 路 径 ， 使 数据 帧 直接 由 源 地 址 到 达 目 的 地 址 。 

路 由 器 工作 于 网 络 层 ， 路 由 喜 根 据 网 络 多 辑 地 址 在 互 连 的 子 网 之 间 传 递 分 组 。 一 个 子 网 可 
能 对 应 于 一 个 物理 网 段 ， 也 可 能 对 应 于 几 个 物理 网 段 。 路 由 器 适合 于 连接 复杂 的 大 型 网 络 ， 钨 
工作 于 网 络 层 ， 因 而 可 以 用 于 连接 下 面 三 层 执 行 不 同 协议 的 网 络 ， 协 议 的 转换 由 路 由 器 完成 ， 
从 而 消除 了 网 络 层 协议 之 间 的 差别 ， 通 过 路 由 器 连接 的 子 网 在 网 络 层 之 上 必须 执行 相同 的 协 
议 。 对 于 路 由 器 如 何 协调 网 络 协 议 之 间 的 差别 ， 如 何 进 行路 由 选择 以 及 如 何在 通信 子 网 之 间 转 
发 分 组 ， 将 在 后 面 进行 讲解 。 

网 关 是 最 复杂 的 网 络 互 连 设 备 ， 它 用 于 连接 网 络 层 之 上 执行 不 同 协议 的 子 网 ， 组 成 异 构 
型 的 因特网 。 网 关 能 对 互 不 兼容 的 高 层 协 议 进行 转换 ， 例 如 使 用 Novell 公司 NetWare 的 PC 
工作 站 和 SNA 网 络 互 连 ， 两 者 不 仅 硬 件 不 同 ， 而 且 整 个 数据 结构 和 使 用 的 协议 都 不 同 。 为 了 
实现 异 构 型 设备 之 间 的 通信 ， 网 关 要 对 不 同 的 传输 层 、 会 话 层 、 表 示 层 和 应 用 层 协议 进行 翻 
译 和 变换 。 
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无 线 接 入 点 〈Access Point，AP) 是 一 个 包含 单纯 性 无 线 接 入 点 《无 线 AP) 和 无 线路 由 器 
( 含 无 线 网 关 、 无 线 网 桥 ) 等 类 设备 的 统称 。 单 纯 性 无 线 AP 就 是 一 个 无 线 的 交换 机 ， 仅 仅 是 提 
供 一 个 无 线 信号 发 射 的 功能 。 单 纯 性 无 线 AP 的 工作 怕 理 是 将 网 络 信号 通过 双 绞 线 传送 过 来 ， 
经 过 AP 产品 的 编译 ， 将 电信 和 号 转换 成 为 无 线 电 讯号 发 送出 来 ， 形 成 无 线 网 的 覆盖 。 根 据 不 同 
的 功率 ,其 可 以 实现 不 同 程度 、 不 同 范围 的 网 络 复 再, 一 般 无 线 AP 的 最 大 上 履 盖 距离 可 达 300m。 
多 数 单纯 性 无 线 AP 本 喘 不 具备 路 由 功能 ， 目 前 大 多 数 的 无 线 AP 都 支持 多 用 户 〈30~100 台电 
脑 ) 接 入 、 数 据 加 密 、 多 速率 发 送 等 功能 ， 在 家 庭 、 办 公 室 内 ， 一 个 无 线 AP 便 可 实现 所 有 电 
脑 的 无 线 接 入 。 


2.2 接 入 网 技术 


接 入 网 (Access Network，AN) 除了 包含 用 户 线 传输 系统 、 复 用 设备 外 ， 还 包括 数字 交叉 
连接 设备 和 用 户 / 网 络 接口 设备 。 接 入 网 为 本 地 交换 机 〈LE) 与 用 户 端 设备 〈TE) 之 间 的 实施 
系统 ， 其 目的 是 综合 考虑 本 地 交换 机 、 用 户 环 路 和 终端 设备 ， 通 过 有 限 的 标准 化 接口 将 各 种 用 
户 所 需求 的 业务 接 入 节点 。 


2.2.1 xDSL 接 人 和 


数字 用 户 线路 (Digital Subscriber Lines，DSL ) 由 于 采用 了 先进 的 数据 调制 技术 ， 通 过 普 
通 的 电话 线 就 可 以 达到 非常 高 的 吞吐 量 。xDSL 是 对 所 有 不 同 DSL 的 总 称 。 目 前 共有 七 种 DSL， 
其 中 ADSL 和 VDSL 使 用 最 三 。 


1.ADSL 接 入 


非 对 称 数字 用 户 环 路 (ADSL) 是 一 种 上 、 下 行 传输 速率 不 等 的 高 速 数 字 用 户 环 路 ， 且 在 
同一 对 用 户 线 上 还 可 同时 传送 传统 的 模拟 话音 信和 号。 在 用 户 闯 PC 或 机 顶 盒 通过 ATU-R《〈 远 端 
ASDL Modem) 和 模拟 话音 分 离 器 接 入 用 户 铜 线 。 在 局 端 用 户 线 通过 分 离 器 接 入 AITU-C 《局 端 
ADSL Modem) ， 并 经 由 数字 用 户 线路 接 入 复 用 器 DSLAM (Digital Subscriber Line Access 
Multiplexed) 进行 复 接 。 复 接 后 的 高 速 数据 流 经 由 ISPLAN 和 路 由 天 进 Internet。 

在 ADSL 系统 中 ，ADSL 收发 信 机 从 一 对 用 户 线 中 辟 出 三 个 通道 : 普通 电话 业务 〈(POTS ) 
信道 、 中 速 双 工 数据 信道 、 高 速 下 行 数据 信道 。 普 通电 话 业 务 占据 4kHz 以 下 的 基 珊 ， 并 通过 无 
源 低 通 滤波 器 与 数字 信和 号 分 离 ， 以 保证 在 ADSL 系统 出 现 故障 情况 下 仍 能 保证 通话 业务 。 上 行 信 
道 数 据 速率 为 16kbps~1Mbps; 下 行 信 道 包 括 一 个 中 速 双 回信 道 的 下 行 部 分 《速率 同上 行 信 道 ) 
和 一 个 高 速 (1. SMbps~9Mbps) 单 工 下 行 通道 。 这 三 个 通道 可 以 同时 工作 。 在 实际 应 用 中 频段 划 
分 视 设 备 而 异 。 各 信道 数据 速率 与 占用 线路 频 宽 及 调制 效率 〈 码 速率 /调制 符号 速率 ) 有 关 。 

ADSL 系统 是 针对 住宅 用 户 设计 的 ， 目 前 ADSL 大 多 用 于 高 速 接 入 Internet 网 业务 ， 并 能 
享用 ISP 运 侣 商 所 提供 的 诸如 点 播 电 视 、 远 程 教学 、 远 程 医疗 、 居 家 购物 、 可 视 电话 、 多 方 可 
视 游戏 等 多 巡 体 业务 。 
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2.VDSL 接 入 


由 于 ADSL 技术 在 提供 图 像 传输 时 下 行 带宽 十 分 有 限 ， 而 且 成 本 偏 高 。 在 提高 系统 下 行 市 
宽 过 程 中 系统 逐步 演变 为 其 高 比特 数字 用 户 环 路 (VDSL) 。 

VDSL 系统 用 于 接 入 网 中 的 最 后 一 段 入 户 连接 。 其 传输 距离 只 有 300m〈52Mbps 时 ) ~1lkm 
(13Mbps 时 ) 。 其 传输 速率 为 : 下 行 达 13Mbps~ $S2Mbps; 上 行为 1. Mbps ~2Mbps。 

由 于 VDSL 系统 传输 距离 缩短 ， 码 间 干 扰 大 大 减 小 ， 对 数字 信和 号 处 理 要 求 亦 大 为 简化 ， 收 
发 信 机 成 本 有 望 比 ADSL 降低 一 半 。 

VDSL 系统 因 传输 距离 短 ， 故 一 般 作 为 光纤 到 路 边 〈FTTC) 和 光纤 到 大 楼 (FTTB) 的 帘 
带 延 伸 。 从 目前 看 来 VDSL 和 ATM 无 源 接 入 网 (APON ) 混合 使 用 是 一 种 比较 理想 的 宽带 接 入 
方案 。 


2.2.2 Cable Modem 接 人 入 


电 绝 调制 解 调 右 〈Cable Modem) 是 适用 于 电线 传输 体系 的 调制 解 调 器 。 它 基于 有 线 电 视 
网 络 ， 利 用 了 有 线 电 视 电费 可 以 同时 传输 多 个 频道 的 工作 机 制 ， 使 用 电费 带宽 的 一 部 分 来 传送 
数据 。Cable Modem 是 将 数据 进行 调制 后 在 电线 的 一 个 频率 范围 内 传输 ， 接 收 时 进行 解 调 ， 传 
输 机 理 与 普通 Modem 相同 。 不 同 之 处 在 于 它 是 通过 有 线 电 视 网 络 的 某 个 传输 频 达 进 行 调制 解 
调 的 。 而 普通 Modem 的 传输 介质 在 用 户 与 交换 机 之 间 是 独立 的 ， 即 用 户 独 享 通信 介质 。Cable 
Modem 属于 共享 介质 系统 ， 其 他 空闲 频段 仍然 可 用 于 有 线 电视 信号 的 传输 。 

Cable Modem 类 似 于 电话 线 上 使 用 的 音频 Modem, 其 主要 作用 是 完成 数字 信和 号 的 远 距 离 传 
送 。Cable Modem 下 行 载波 带宽 6MHz， 数 据 速 率 在 采用 64QAM 调制 方式 时 为 31.2Mbps; 采 
用 236QAM 调制 方式 时 为 41.6Mbps。 上 行 采 用 QPSK 或 16QAM 调制 方式 在 200kHz~3.2MHz 
市 宽 范 围 内 ， 数 据 速率 可 达 320kbps~10Mbps， 多 个 用 户 Cable Modem 上 行 信 号 可 在 同一 载波 
上 分 时 聊 发 送 。 

我 国 现在 开通 的 Cable Modem 接 入 业务 基本 上 是 基于 双向 的 混合 型 光纤 同 轴 电 缆 〈HEFC ) 
的 。Cable Modem 的 技术 具有 以 下 特点 : 

(1) 连接 速度 快 。 在 目前 应 用 的 所 有 接 入 方式 中 ，Cable Modem 是 最 快 的 一 种 。 

(2) 成 本 低廉 。Cable Modem 利用 已 有 的 有 线 电 视 网 络 。 

(3) 提供 了 非 对 称 的 专线 连接 。Cable Modem 是 一 直 在 线 的 ， 用 户 无 需 拨 号 ， 也 不 用 担心 
遇 到 忙 音 ， 只 要 一 打开 计算 机 就 会 目 动 建立 与 Internet 的 高 速 连 接 。 

(4) 不 受 连接 距离 的 限制 。 用 户 所 在 地 和 有 线 电 视 中 心 局 之 间 的 同 轴 电 缆 能 够 按照 用 户 的 
再 要 延伸 ， 不 受 连 接 距 离 的 限制 。 


2.2.3 ”局域网 授 人 


以 太 网 的 传输 速率 高 、 组 网 设备 价格 低廉 ， 其 传输 链 路 可 采用 光纤 、 同 轴 电 缆 、 钢 线 双 绥 
线 等 物理 媒体 。 随 着 以 太 网 技术 的 迅速 发 展 ， 该 技术 进入 卫 城 域 网 和 接 入 网 领域 。 
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目前 新 建 住 宅 小 区 和 商务 楼 流行 局 域 网 (CLAN ) 方式 接 入 。 小 区 接 入 节点 (ZAN) 提供 住 
宅 小 区 接 入 ， 采 用 千 兆 以 太 网 交换 机 ;， 楼宇 接 入 点 (BAN) 提供 居民 楼 宇 接 入 ， 采 用 百 兆 以 太 
网 交换 机 ， 实 现 住宅 小 区 的 千 兆 光纤 到 小 区 、 百 兆 光 纤 或 5 类 线 到 住宅 楼 、 十 兆 $ 类 线 到 用 户 
的 宽带 用 户 接 入 方案 ， 或 商务 楼 的 千 兆 到 大 楼 、 百 兆 到 楼 层 、 十 兆 到 用 户 的 用 户 接 入 方案 。 小 
区 或 大 楼 的 千 兆 光纤 经 由 了 王城 域 网 汇聚 层 的 路 由 交换 机 进入 城 域 核 心 网 。 

城 域 网 的 汇聚 层 将 电话 、 数 据 以 及 各 种 宽 珊 多 媒体 接 入 业务 ， 汇 聚 为 卫 数据 流 进 入 城 域 
骨干 网 。 汇 聚 层 可 提供 诸如 点 播 电 视 、 有 线 电 视 、 信 息 广 播 等 业务 。 该 层 还 有 一 个 重要 作用 ， 
是 对 用 户 进 行 鉴 权 、 认 证 、 计 费 和 管理 。 用 于 汇聚 层 的 典型 设备 包括 各 类 路 由 器 、 路 由 交换 机 、 
各 类 网 关 、 宽 带 综合 接 入 服务 器 、WWW、DNS (域名 ) 、AAA ( 鉴 权 、 认 证 、 计 费 ) 等 服务 
髓 以 及 各 类 信息 源 。 


2.2.4 无 线 接 人 


1. 无 线 接 入 技术 


无 线 接 入 技术 是 无 线 通信 的 关键 问题 ， 是 指 通过 无 线 介 质 将 用 户 终 端 与 网 络 节点 连接 起 
来 ， 以 实现 用 户 与 网 络 间 的 信息 传递 。 无 线 信 道 传 输 的 信号 应 遵循 一 定 的 协议 ， 这 些 协议 即 构 
成 无 线 接 入 技术 的 主要 内 容 。 无 线 接 入 技术 与 有 线 接 入 技术 的 一 个 重要 区 别 在 于 可 以 癌 用 户 提 
供 移动 接 入 业务 。 

无 线 接 入 大 致 可 分 为 三 种 。 

(1) 低速 无 线 本 地 环 。 无 线 本 地 技术 源 于 20 世纪 40 年 代 中 期 出 现 的 蜂窝 电话 和 随后 产生 
的 无 绳 电话 等 移动 通信 技术 。 最 常用 的 为 蜂 坑 通信 技术 ， 即 利用 模拟 蜂 坑 移 动 通信 技术 ， 如 总 
访问 通信 系统 、 高 级 移动 电话 服务 系统 等 。 这 类 技术 的 速率 较 低 ， 像 全 球 通 仅 能 够 提供 13kby/s 
的 语音 服务 和 9. 6kby/s 的 数据 服务 。 

(2) 宽带 无 线 接 入 。 随 着 无 线 接 入 市 场 的 不 断 扩 大 ， 许 多 无 线 设备 制造 商 开 始 提供 基于 无 
线 电 波 的 宽带 接 入 系统 ， 如 多 路 多 点 分 配 业 务 和 本 地 多 点 分 配 业 务 。 这 些 系统 采用 数字 技术 ， 
并 文 持 多 用 户 和 多 种 服务 ， 数 据 通 信 速 率 一 般 在 128skb/s 一 15Skby/s。 

(3) 卫星 接 入 。 卫 星 接 入 就 是 利用 卫星 通信 系统 提供 的 接 入 服务 。 和 它 由 人 造 卫 星 和 地 面 站 
组 成 ， 用 卫星 作为 中 转 站 转发 传 入 的 无 线 电信 和 号。 其 中 ， 能 够 为 用 户 提 供电 话 、 电 视 和 数据 接 
入 服务 的 卫星 接 入 业务 ， 在 我 国 已 有 了 较 广 泛 的 应 用 。 


2. 宽 市 无 线 接 入 


宽 市 无 线 接 入 技术 虽然 没有 像 ADSL 等 有 线 宽 璋 技术 那样 成 为 主流 的 接 入 手段 , 但 是 由 于 
它 上 自身 的 优点 ， 在 整个 宽带 市 场 中 也 占据 了 一 席 之 地 ， 网 络 规模 逐年 扩张 。 

与 传统 仅 提 供 罕 带 话音 业务 的 无 线 接 入 技术 不 同 ， 宽 带 无 线 接 入 技术 (BWA) 面向 的 主要 
应 用 是 卫 数据 接 入 和 话音 接 入 。BWA 的 出 现 源 于 Internet 的 发 展 和 用 户 对 宽带 数据 需求 的 不 
靳 增长 。 各 个 国家 从 1999 年 开始 纷纷 为 BWA 分 配 频 率 , 其 中 主要 包括 2.3GHz、3.SGHz、5SGHz、 
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24GHz、26GHz 等 频段 。 北 美国 家 主要 分 配 了 2.SGHz， 欧 洲 的 国家 则 主要 分 配 了 3.5SGHz 频 
率 资源 。20GHz 以 上 的 宽带 无 线 接 入 技术 统称 为 本 地 多 点 分 配 技术 (LMDS) 。 我 国 为 BWA 
分 配 的 频率 资源 包括 3.3GHz、5$.8GHz、26GHz LMDS， 其 中 $.8GHz 为 扩 频 通信 系统 、 帘 带 
无 线 接 入 系统 、 高 速 无 线 局 域 网 、 蓝 牙 系 统 等 共享 的 频段 ， 其 余 两 个 频带 则 是 宽带 无 线 接 入 
专 有 频带 。 

当前 宽带 无 线 接 入 有 以 下 几 大 技术 : LMDS (Local Multipoint Distribution System， 本 地 多 
点 分 配 系统 ) 、MMDS (Multipoint Multichannel Distribution System， 多 点 多 信道 分 配 系 统 ) 、 
无 线 局 域 网 、 蓝 牙 及 其 他 《如 红外 等 ) 。 

(1) LMDS“〈 高 频 宽带 、24 / 26GHz~38GHz) 。LMDS 频谱 资源 比较 多 ， 可 以 传输 较 高 
的 速率 ， 但 是 由 于 工作 于 毫米 波 ， 受 气候 影响 大 ， 抗 雨 衰 性 能 差 ， 降 低 了 在 经 济 发 达 的 东南 洛 
海地 区 的 可 用 度 。 目 前 通常 所 说 的 LMDS 为 第 二 代数 字 系 统 ， 主 要 使 用 无 线 ATM 传送 协议 ， 
具有 标准 化 的 网 络 侧 接口 和 网 管 协 议 。LMDS 具有 更 高 带宽 和 双 疝 数据 传输 的 特点 ， 可 以 提供 
多 种 宽带 交互 式 数据 业务 及 话音 和 图 像 业 务 ， 因 此 人 们 逐渐 将 眼光 投入 带宽 达到 1GHz， 几 乎 
可 以 提供 任何 种 类 的 业务 。 我 国 已 完成 频率 规划 ， 频 段 为 24.307GHz 一 25.51$SGHz 和 
25.7$7GHz 一 26.765GHz。 

(2) MMDS 〈 中 频 中 宽带 、2GHz 一 SGHz) 。 该 频段 传输 性 能 好 、 履 盖 范 围 广 、 技 术 成 熟 、 
抗 雨 衰 性 能 恨 好 、 扩 容 性 强 、 组 网 灵活 且 成 本 具有 竞争 力 ， 是 较为 理想 的 无 线 接 入 手段 。 由 于 
该 频段 资源 比较 紧张 ， 能 分 给 MMDS 的 频段 窗 ， 信 道 数 少 ， 需 用 新 技术 来 提高 频谱 利用 率 。 
中 国 已 经 分 配 试用 〈3.4GHz 一 3.43GHz 和 3.SGHz 一 3.53GHz) 。 因 为 频段 相对 紧张 ， 所 以 格外 
激发 高 效 利 用 频率 的 新 技术 大 量 涌现 。 

3) 无 线 局 域 网 WLAN。 无 线 局 域 网 的 主要 技术 有 IEEE802.1ljb、IEEE 802.11a、IEEE 
802.11g、HiperLAN 等 .当前 最 具 代 表 性 的 当 数 IEEE 802. 1l1b。1999 年 9 月 通过 的 IEEE 802.11b 
工作 在 2.4GHz 一 2.483GHz 频段 。 与 有 线 局 域 网 的 不 同 主要 体现 在 便携 性 上 。WLAN 技术 发 展 
较为 迅速 ， 由 于 IEEE 802.11 标准 成 功 解决 了 衬 中 接口 兼容 性 问题 ， 促 进 了 无 线 局 域 网 终端 和 
接 入 点 CAP) 的 互通 ， 因 此 WLAN 设备 成 本 下 降 很 快 ， 应 用 也 非常 广泛 。 

虽然 WLAN 的 公众 热点 数 在 增多 , 但 是 对 于 WLAN 技术 ,由 于 每 个 AP 的 有 履 盖 范围 有 限 ， 
因此 整个 热点 内 AP 的 互 连 也 需要 有 线 网 络 设施 的 支撑 ， 对 网 络 整 体 投资 有 一 定 的 要 求 。 

(4) 蓝牙 。 蓝 牙 也 是 一 种 使 用 2.4GHz 一 2.483GHz 的 无 线 频 带 〈ISM 频带 ) 的 通用 无 线 接 
口技 术 ， 提 供 不 同 设备 间 的 双向 短程 通信 。 监 牙 的 目标 是 最 高 数据 传输 速率 1Mbits (有 效 传输 
速率 为 721kbits) 、 最 大 传输 距离 为 10cm 一 10m〔〈 增 加 发 射 功率 可 达 100m) 。 蓝 牙 的 优势 是 
设备 成 本 低 、 体 积 小 。 而 且 , 搭配 * 赣 牙 ? 构 造 一 个 整体 网 路 的 成 本 要 比 铺设 线 缆 低 。 相 对 802.11x 
系列 和 HiperLAN 家 族 ， 蓝 牙 的 作用 不 是 为 了 竞争 ， 而 是 相互 补充 。 

宽带 无 线 接 入 技术 经 过 近 几 年 的 发 展 ， 已 经 形成 了 一 定 的 产业 规模 。 随 着 新 的 技术 涌现 ， 
宽带 无 线 接 入 的 传输 能 力 在 不 断 增 强 ， 接 口 更 加 开放 ， 技 术 的 发 展 正 经 历 从 固定 到 移动 的 发 展 
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2.2.5 ” 光 网 络 接 人 


1. 光纤 接 入 技术 


光纤 接 入 网 是 指 局 端 与 用 户 之 间 完 全 以 光纤 作为 传输 媒体 。 接 入 网 光纤 化 有 很 多 方案 ， 有 
光纤 到 路 边 (FTTC) 、 光 纤 到 小 区 (FTTZ) 、 光 纤 到 办 公 楼 (FTTB) 、 光 纤 到 楼 面 (FTTF) 、 
光纤 到 家 庭 (FTTH) 。 采 用 光纤 接 入 网 是 光纤 通信 发 展 的 必然 趋势 ， 尽 管 目前 各 国 发 展 光 纤 
接 入 网 的 步伐 各 不 相同 ， 但 光纤 到 家 庭 是 公认 的 接 入 网 发 展 目标 。 现 阶段 大 规模 实现 FTTH 还 
不 经 济 , 主要 是 实现 FTTBAFTTC, 目前 可 采用 的 传送 技术 手段 以 有 源 光 纤 接 入 (如 PDH、AIM、 
SDH、GEFE 等 ) 为 主 ， 但 当 无 源 光 纤 接 入 开始 得 到 应 用 时 ， 其 将 成 为 FTTH 的 一 种 最 经 济 有 
效 的 技术 手段 。 

训 无 疑问 ， 光 纤 是 接 入 网 的 理想 传输 媒介 。 光 纤 接 入 网 具有 以 下 优点 : 

(1 ) 光纤 接 入 网 能 满足 用 户 对 各 种 业务 的 需求 。 人 们 对 通信 业务 的 要 求 越 来 越 高 ， 如 果 要 
提供 高 清晰 度 或 交互 式 视频 等 业务 ， 用 铜 线 骏 线 是 难以 实现 的 。 

(2) 光纤 可 以 殉 服 铜 线 电缆 无 法 克服 的 一 些 限 制 因 素 ， 且 损耗 低 、 频 带宽 ， 解 除了 铜 线 电 
缆 网 径 小 的 限制 ， 此 外 ， 光 纤 不 受 电磁 干扰 ， 保 证 了 信和 号 传输 质量 。 

(3) 光纤 接 入 网 的 性 能 不 断 提 高 ， 价 格 不 断 下 降 。 

(4) 光纤 接 入 网 提供 数字 业务 ， 有 完善 的 监控 和 管理 系统 ， 能 适应 将 来 宽带 综合 业务 的 需 
要 ， 打 破 有 限 带宽 的 传输 瓶 顷 ， 使 信息 高 速 公 路 畅通 无 阻 。 

现在 ， 影 响 光 纤 接 入 网 发 展 的 主要 原因 不 是 技术 ， 而 是 成 本 。 直 至 目前 ， 光 纤 接 入 网 的 成 
本 仍然 较 高 。 


2. 无 源 光 网 络 


无 源 光 网 络 〈(PON ) 技术 是 最 新 发 展 的 点 到 多 点 的 光纤 接 入 技术 。 无 源 光 网 络 由 光线 路 终 
端 (COLT) 、 光 网 络 单元 (ONU) 和 光 分 配 网 络 (ODN ) 组 成 。 一 般 其 下 行 采 用 TDM 广播 方 
式 、 上 行 采用 TDMA 〈 时 分 多 址 接 入 ) 方式 ， 而 且 可 以 灵活 地 组 成 树 型 、 星 型 、 总 线 型 等 拓扑 
结构 〈 典 型 结构 为 树 型 ) 。PON 的 本 质 特征 就 是 ODN 全 部 由 无 源 光 器 件 组 成 ， 不 包含 任何 有 
源 电子 器 件 ， 这 样 避免 了 外 部 设备 的 电磁 干扰 和 雷电 影响 ， 减 少 了 线路 和 外 部 设备 的 故障 率 ， 
提高 了 系统 可 靠 性 ， 同 时 节省 了 维护 成 本 。 与 有 源 光 接 入 技术 相 比 ，PON 由 于 消除 了 局 问 与 用 
户 端 之 间 的 有 源 设备 ， 从 而 使 得 维护 简单 、 可 靠 性 高 、 成 本 低 ， 而 且 能 节约 光纤 资源 。 

目前 PON 技术 主要 有 APON (基于 ATM 的 PON) 、EPON (基于 以 太 网 的 PON) 和 GPON 
(Gigabit PON) 等 几 种 ， 其 主要 差异 在 于 采用 了 不 同 的 二 层 技术 。 

(1) APON。APON 是 20 世纪 90 年 代 中 期 被 ITU 和 全 业务 接 入 网 论坛 (FSAN) 标准 化 
的 PON 技术 ,在 2001 年 年 底 FSAN 又 将 APON 更 名 为 BPON,APON 的 最 高 速率 为 622Mbit/s， 
二 层 采 用 的 是 AIM 封装 和 传送 技术 ， 因 此 存在 剖 宽 不 足 、 技 术 复杂 、 价 格 高 、 承 载 下 业务 效 
率 低 等 问题 ， 未 能 取得 市 场 上 的 成 功 。 
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(2) EPON。 为 更 好 地 适应 瑟 业务 ， 第 一 类 里 以 太 网 联盟 (EFMA) 在 2001 年 年 初 提出 了 
在 二 层 用 以 太 网 取代 AITM 的 EPON 技术 ，IEEE 802. 3ah 工作 小 组 对 其 进行 了 标准 化 ，EPON 
可 以 支持 1. 23Gbps 对 称 速率 ， 将 来 速率 还 能 升级 到 10 Gbps。EPON 产品 得 到 了 更 大 程度 的 商 
用 ， 由 于 其 将 以 太 网 技术 与 PON 技术 完美 结合 ， 因 此 非常 适合 卫 业务 的 宽带 接 入 技术 。 对 于 
吉 位 每 秒 (Gbps) 速率 的 EPON 系统 ， 也 常 称 为 GEPON。 

(3) GPON。 在 EFMA 提出 EPON 概念 的 同时 ，FSAN 又 提出 了 GPON，FSAN 与 ITU 已 
对 其 进行 了 标准 化 , 其 技术 特色 是 在 二 层 采 用 ITU--T 定义 的 GFP( 通 用 成 帧 规程 ) 对 Ethernet、 
TDM、ATM 等 多 种 业务 进行 封装 映射 ， 能 提供 1.25SGbps、2.5Gbps 下 行 速 率 和 所 有 标准 的 上 行 
速率 ， 并 具有 强大 的 操作 、 管 理 、 维 护 和 配置 (Operation， Administration， Maintenance and 
Provisioning，OAMP) 功能 。 在 高 速率 和 支持 多 业务 方面 ，GPON 有 明显 优势 ， 但 目前 成 本 要 
高 于 EPON， 产 品 的 成 熟 性 也 进 于 EPON。 


2.3 网 络 层 协议 


2.3.1 IIP 协议 
PP 协议 是 mnternet 中 的 网 络 层 协议 ， 提 供 无 连接 服务 。 
1. 了 协议 数据 单元 
PP 协议 的 数据 格式 如 图 2-1 所 示 ， 其 中 的 字段 如 下 。 


TIMTanam 


用 户 效 据 


图 2-1 IP 协 议 格 式 


e。 版 本 号 : 协议 的 版 本 号 ， 不 同 版 本 的 协议 格式 或 语义 可 能 不 同 ， 现 在 常用 的 是 IPv4， 
正在 逐渐 过 渡 到 IPv6。 

e。 IJIHL: 卫 头 长 度 ， 以 32 位 字 计 数 ， 最 小 为 S， 即 20 个 字 节 。 

e。 服务 类 型 : 用 于 区 分 不 同 的 可 靠 性 、 优 先 级 、 延 迟 和 吞吐 率 的 参数 。 

e。 总 长 度 : 包含 耻 头 在 内 的 数据 单元 的 总 长 度 《〈 字 节 数 ) 。 
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se。 标识 符 : 唯一 标识 数据 报 的 标识 符 。 

e。 标志 : 包括 3 个 标志 ， 一 个 是 M 标志 ， 用 于 分 段 和 重 装配 ; 另 一 个 是 禁止 分 段 标志 ， 
如 果 认 为 目标 站 不 具备 重 闭 配 能 力 ， 则 可 使 这 个 标志 置 位 ， 这 样 如 果 数 据 报 要 经 过 一 
个 最 大 分 组 长 度 较 小 的 网 络 ， 就 会 被 丢弃 ,因而 最 好 使 用 源 路 由 以 避免 这 种 灾难 发 生 ; 
第 3 个 标志 当前 没有 启用 。 

e。 段 偏 置 值 : 指明 该 段 处 于 原来 数据 报 中 的 位 置 。 

e。 生存 期 : 用 经 过 的 路 由 器 个 数 表 示 。 

e。 协议 : 上 层 协议 (CTCP 或 UDP) 。 

e。 头 校 检 和 : 对 卫 头 的 校 验 序列 。 在 数据 报 传输 过 程 中 下 头 中 的 某 些 字段 可 能 改变 ( 例 
如 生存 期 ， 以 及 与 分 段 有 关 的 字段 ) ， 所 以 校 检 和 要 在 每 一 个 经 过 的 路 由 器 中 进行 校 
验 和 重新 计算 。 校 检 和 是 对 IP 头 中 的 所 有 16 位 字 进 行 1 的 补 码 相 加 得 到 的 ， 计 算 时 
假定 校 检 和 字段 本 身 为 0。 

e。 ， 源 地 址 : 给 网 络 和 主机 地 址 分 别 分 配 大 干 位 ， 例 如 7 和 24、14 和 16、21 和 8 等 。 

e。 目标 地 址 : 同上 。 

e。 任 选 数据 : 可 变 长 ， 包 含 发 送 者 想 要 发 送 的 任何 数据 。 

e。 补丁 : 补 齐 32 位 的 边界 。 

e。 用 户 数据 : 以 字 节 为 单位 的 用 户 数据 ， 和 了 王 头 加 在 一 起 的 长 度 不 超过 65 $35 字 节 。 


2. JP 地 址 与 子 网 划分 


IP 网 络 地 址 采用 “网 络 。 主 机 ”的 形式 ， 其 中 网 络 部 分 是 网 络 的 地 址 编码 ， 主 机 部 分 是 网 
络 中 一 个 主机 的 地 址 编码 。 卫 地 址 的 格式 如 图 2-2 所 示 。 


1.0.0.0 ~ 127.255.255.255 

128.0.0.0 ~ 191.255.255.255 
192.0.0.0 ~ 223.255.255.255 
224.0.0.0 ~ 239.255.255.255 
240.0.0.0 ~ 255.255.255.255 


图 2-2 了 卫 地 址 的 格式 


了 P 地 址 分 为 5 类 。A 类 、B 类 、C 类 是 常用 地 址 。 了 王 地 址 的 编码 规定 全 0 表示 本 地 地 址 ， 
即 本 地 网 络 或 本 地 主机 ; 全 1 表示 广播 地 址 ， 任 何 网 站 都 能 接收 。 所 以 ， 除 去 全 0 和 全 1 地 址 
外 ，A 类 有 126 个 网 络 地 址 ，1600 万 个 主机 地 址 ; B 类 有 16 382 个 网 络 地 址 ，64 000 个 主机 地 
址 ;C 类 有 200 万 个 网 络 地 址 ，254 个 主机 地 址 。 


D 已 加 芭 六 
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IP 地 址 通常 用 十 进 制 数 表 示 ， 即 把 整个 地 址 划分 为 4 个 字 节 ， 每 个 字 节 用 一 个 十 进 制 数 表 
示 ， 中 间 用 圆 点 分 隔 。 根 据 卫 地 址 的 第 一 个 字 节 ， 就 可 判断 它 是 A 类 、B 类 还 是 C 类 地 址 。 
子 网 划分 把 主机 地 址 部 分 再 划分 为 子 网 地 址 和 主机 地 址 ， 形 成 了 三 级 寻 址 结构 。 这 种 三 级 
寻 址 方式 需要 子 网 掩 码 的 文 持 ， 如 图 2-3 所 示 。 
32 位 


ORG 
子 网 掩 码 1 1111111111111111111110000000000 
图 2-3 了 和子 网 掩 码 
和子 网 地 址 对 网 络 外 部 是 透明 的 。 当 了 王 分 组 到 达 目 标 网 络 后 ， 网 络 边界 路 由 器 把 32 位 的 正 
地 址 与 子 网 掩 码 进行 逻辑 “与 ” 运算， 从 而 得 到 子 网 地 址 ， 并 据 此 转发 到 适当 的 子 网 中 。 图 2-4 
所 示 为 B 类 网 络 地 址 被 划分 为 两 个 子 网 的 情况 。 


网 络 地 址 于 网 地 址 主机 地 址 
_ es em 
子 网 捧 码 1111111110000.00000000 
130.47. 16.， 2354 10000010.0010111100010000.11111110 
130.47. 17. 01 10000010.0010111100010001.00000001 
131.47. 04.，234 10000010.0010111101000000.11111110 
131.47. 05. 01 10000010.0010111101000001.00000001 


图 2-4 了 地 址 与 子 网 掩 码 


虽然 子 网 掩 码 是 对 网 络 编 址 的 有 益 补 充 ， 但 是 还 存在 着 一 些 缺 陷 。 例 如 ， 一 个 组 织 有 几 个 
包含 25 台 左 右 计算 机 的 子 网 ， 又 有 一 些 只 包含 几 台 计算 机 的 较 小 的 子 网 。 在 这 种 情况 下 ， 如 
果 将 一 个 C 类 地 址 分 成 6 个 子 网 ， 每 个 子 网 可 以 包含 30 台 计 算 机 ， 大 的 子 网 基本 上 利用 了 全 
部 地 址 ， 但 是 小 的 子 网 却 当 费 了 许多 地 址 。 为 了 解决 这 个 问题 ， 避 免 任 何 可 能 的 地 址 溪 费 ， 惑 
出 现 了 可 变 长 子 网 掩 码 (Variable Length Subnetwork Mask，VLSM) 的 编 址 方案 。 这 样 ， 可 以 
在 卫 地 址 后 面 加 上 “/ 位 数 ” 来 表示 子 网 掩 码 中 “1” 的 个 数 。 例 如 ，202.117.125.0/27 的 前 27 
位 表示 网 络 号 和 子 网 号 ， 即 子 网 掩 码 为 27 位 长 ， 主 机 地 址 为 5 位 长 。 


3. IPv6 协议 


1) IPv6 协议 的 特点 

IPv6 协议 具有 以 下 特点 : 

e。 更 大 的 地 址 空间 。IPv6 将 地 址 从 IPv4 的 32 bit 增 大 到 了 128 bit。 
e。 扩展 的 地 址 层次 结构 。 

e 灵活 的 首部 格式 。 

e。 改进 的 选项 。 
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。 增强 安全 性 。 
@ 对 Qoy 支持 。 
2) IPv6 地 址 
IPv6 将 128 bit 地 址 空间 分 为 两 大 部 分 , 如 图 2-5 所 示 。 第 一 部 分 是 可 变 长 度 的 类 型 前 绥 ， 
它 定义 了 地 址 的 目的 。 第 二 部 分 是 地 址 的 其 他 部 分 ， 其 长 度 也 是 可 变 的 。 
128 bit 


长 度 可 变 一 > 长 度 可 变 


类 型 前 绥 地 址 的 其 他 部 分 


图 2-$ _IPv6 地 址 格式 


每 个 16 bit 的 值 用 十 六 进 制 值 表 示 ， 各 值 之 间 用 冒号 分 隔 。 

IPv6 数据 报 的 目的 地 址 可 以 是 以 下 三 种 基本 类 型 地 址 之 一 : 

e。 单 播 unicast) 。 单 播 就 是 传统 的 点 对 点 通信 。 

e。 多 播 (multicast) 。 多 播 是 一 点 对 多 点 的 通信 。 

e。 ， 任 播 〈anycast) 。 这 是 IPv6 增加 的 一 种 类 型 。 任 播 的 目的 站 是 一 组 计算 机 ， 但 数据 
报 在 交付 时 只 交付 给 其 中 的 一 个 ， 通 种 是 距离 最 近 的 一 个 。 

前 绥 为 0000 0000 是 保留 一 小 部 分 地 址 与 IPv4 兼容 的 , 这 是 因为 必须 要 考虑 在 比较 长 的 

时 期 ，IPv4 和 IPv6 将 会 同时 存在 ， 而 有 的 结 点 不 文 持 IPv6。 

IPv6 扩展 了 地 址 的 分 级 概念 ， 使 用 以 下 三 个 等 级 : 

e。 第 一 级 〈 顶 级) ， 指 明 全 球 都 知道 的 公共 拓扑 。 

e。 第 二 级 〈 地 点 级 ) ， 指 明 单 个 的 地 点 。 

e。 第 三 级 ， 指 明 单 个 的 网 络 接口 。 

IPv6 报 文 格式 

IPv6 数据 报 首 部 格式 如 图 2-6 所 示 。 

IPv6 数据 报 各 字段 说 明 如 下 。 

(1) IPv6 的 基本 首部 ， 有 具体 包括 : 

e。 版 本 〈version) : 4bit， 它 指明 了 协议 的 版 本 ， 对 IPv6 该 字段 总 是 6。 

e。 流量 类 型 (Traffic Class) : 8 bit， 这 是 为 了 区 分 不 同 的 IPv6 数据 报 的 类 别 或 优先 级 。 

。 流标 签 〈Flow Label) : 20bit， 用 于 源 节 点 标识 IPv6 路 由 器 需要 特殊 处 理 的 包 序 列 。 

e。 载荷 长 度 (Payload Length) : 16 bit， 它 指明 IPv6 数据 报 除 基本 首部 以 外 的 字 节 数 
(所 有 扩展 首部 都 算 在 有 效 载 荷 之 内 ) ， 其 最 大 值 是 64 KB。 

e。 ”下 一 个 首部 CNext Head) : 8 bit。 它 相当 于 IPv4 的 协议 字段 或 可 选 字 段 。 

e。 跳 数 限制 (Hop Limit) : 8 bit。 源 站 在 数据 报 发 出 时 即 设 定 跳 数 限制 。 路 由 器 在 转发 
数据 报时 将 跳 数 限制 字段 中 的 值 减 1。 当 跳 数 限制 的 值 为 零 时 ， 就 要 将 此 数据 报 丢弃 。 
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ee ， 源 地 址 〈Source Address) : 128bit， 指 明生 成 数据 包 的 主机 的 IPv6 地 址 。 
e 目的 地 址 (Destination Address) : 128bit， 指 明 数 据 包 最 终 要 到 达 的 目的 主机 的 IPv6 
地 址 。 


比特 0 4 12 16 24 31 
有 效 载 荷 长 度 下 一 个 首部 跳 数 限制 


源 地 址 
(128 bit ) 


目的 地 址 
(128 bit ) 
扩展 首部 /数据 


图 2-6 _IPv6 数据 报 格式 


(2) IPv6 的 扩展 首部 。IPv6 将 原来 IPv4 首部 中 选项 的 功能 都 放 在 扩展 首部 中 ， 并 将 扩展 
首部 留 给 路 径 两 端的 源 站 和 目的 站 的 主机 来 处 理 。 数 据 报 途 中 经 过 的 路 由 器 都 不 处 理 这 些 扩展 
首部 《只 有 一 个 首部 例外 ， 即 逐 跳 选 项 扩展 首部 ) ， 这 样 就 大 大 提高 了 路 由 器 的 处 理 效率 。 

在 [RFC 2460] 中 定义 了 六 种 扩展 首部 : 

e。 ” 逐 跳 选项 : 此 扩展 头 必 须 紧 跟 在 IPv6 基本 首部 之 后 ,， 它 包含 所 经 路 径 上 的 每 一 个 节点 

都 必须 检查 的 选项 数据 。 由 于 它 需 要 在 每 个 中 间 路 由 器 都 进行 处 理 ， 所 以 只 有 在 绝对 
必要 的 时 候 才 出 现 。 

e。 路 由 选择 : 此 扩展 头 指明 数据 包 在 到 达 目 的 地 途中 将 经 过 的 各 节点 的 地 址 列表 。 

e。 分 片 : 当 IPv6 源 地 址 发 送 的 数据 包 比 到 达 目 的 地 址 所 经 过 的 路 径 上 的 最 小 MTU 还 要 

大 时 ， 这 个 数据 包 就 要 被 分 成 几 段 分 别 发 送 ， 这 时 就 要 用 到 分 片头 。 

e。 鉴别 : 鉴别 头 的 功能 是 实现 了 数据 的 完整 性 和 对 数据 来 源 的 认证 。 

e。 封装 安全 有 效 载荷 : 封装 安全 有 效 载 和 倚 头 提供 数据 加 密 功 能 ， 实 现 站 到 痛 的 加 密 ， 提 
供 无 连接 的 完整 性 和 防 重 发 服务 。 封 装 安全 有 效 载 荷 头 可 以 单独 使 用 ， 也 可 以 在 使 用 
降 道 模式 时 锯 套 使 用 。 

e。 目的 站 选项 : 目的 站 选项 头 中 携 天 仅 需要 最 终 目 的 节点 检验 的 可 选 信 息 。 它 要 在 


IPv6 的 
基本 首部 
(40B ) 


IPv6 的 
有 效 载 倚 
(至 64KB ) 
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IPv6 目的 地 址 域 所 列 的 第 一 个 目的 主机 上 处 理 ， 也 要 在 路 由 头 所 列 的 后 续 目 的 主 
机 上 处 理 。 

4) IPv6 地 址 自动 配置 

IPv6 中 地 址 自动 配置 有 两 种 方式 : 有 状态 地 址 目 动 配置 和 无 状态 地 址 上 自动 配置 。 当 站 点 并 
不 是 特别 关心 主机 所 使 用 的 精确 地 址 时 ， 只 要 它们 是 唯一 的 ， 并 且 是 可 路 由 的 ， 就 能 使 用 无 状 
态 方 式 ， 当 站 点 严格 控制 地 址 分 配 时 ， 就 使 用 有 状态 方式 。 

(1) 有 状态 地 址 自动 配置 。 在 这 种 模式 下 ， 主 机 可 以 从 服务 器 获得 接口 地 址 ， 也 可 以 从 服 
务 器 上 获得 配置 信息 和 人 参数。 服务 器 中 维护 着 一 个 数据 库 , 其 中 记录 着 主机 和 地 址 分 配 的 列表 。 
比较 稼 用 的 是 DHCPv6 (Dynamic Host Configuration Protocol for IPv6) 协议 ， 即 文 持 IPv6 的 动 
态 主机 配置 协议 。 它 允许 DHCPv6 服务 器 把 诸如 IPv6 网 络 地 址 等 信息 传 给 IPv6 节点 。DHCPv6 
服务 喜与 客户 端 使 用 UDP 来 交换 DHCPv6 报 文 。 服 务 器 和 中 继 代 理 使 用 UDP 端口 S47 来 监听 
DHCPv6 报 文 ,客户 端 使 用 UDP 端口 $46 来 监听 报 文 。 

(2) 无 状态 地 址 目 动 配置 。 这 种 模式 要 求 本 地 链 路 支持 组 播 ， 而 且 网 络 接口 能 够 发 送 和 接 
收 组 播 包 。 采 用 这 种 方式 可 以 为 任意 主机 配置 一 个 IPv6 地 址 ， 这 个 地 址 内 和 藤 一 个 以 太 网 地 址 ， 
由 于 以 太 网 地 址 全 球 唯一 ， 因 此 获得 的 IPv6 地 址 也 是 唯一 的 。 

具体 过 程 如 下 : 

首先 ， 进 行 目 动 配置 的 节点 必须 确定 目 己 的 链 路 本 地 地 址 。 

然后 ， 必 须 验证 该 链 路 本 地 地 址 在 链 路 上 的 唯一 性 。 

最 后 ， 节 点 必须 确定 需要 配置 的 信息 。 该 信息 可 能 是 节点 的 卫 地 址 ， 或 者 是 其 他 配置 信 
县 ， 或 者 两 者 几 有 。 

具体 地 说 ， 在 无 状态 地 址 目 动 配置 过 程 中 ， 主 机 首先 通过 将 它 的 网 卡 MAC 地 址 附加 在 链 
路 本 地 地 址 前 绥 1111111010 之 后 ， 产 生 一 个 链 路 本 地 单 播 地 址 (IEEE 已 经 将 网 卡 MAC 地 址 
由 48 位 改 为 了 64 位 。 如 果 主 机 采用 的 网 卡 的 MAC 地 址 依然 是 48 位 ， 那 么 IPv6 网 卡 驱 动 程 
序 会 根据 IEEE 的 一 个 公式 将 48 位 MAC 地 址 转换 为 64 位 MAC 地 址 ) 。 接 春 主 机 回 该 地 址 发 
出 一 个 邻居 发 现 请 求 (Neighbor Discovery Request) ， 以 验证 地 址 的 唯一 性 。 如 果 请 求 没 有 得 
到 啊 应 ， 则 表明 主机 上 自我 配置 的 链 路 本 地 单 播 地 址 是 唯一 的 。 和 否则， 主机 将 使 用 一 个 随机 产生 
的 接口 ID 组 成 一 个 新 的 链 路 本 地 单 播 地 址 。 然 后 ， 以 该 地 址 为 源 地 址 ， 主 机 加 本 地 链 路 中 所 
有 路 由 器 多 点 传送 一 个 路 由 器 请 求 (Router Solicitation ) 来 请 求 配置 信息 ， 路 由 器 以 一 个 包含 
一 个 可 聚集 全 球 单 播 地 址 前 绥 和 其 他 相关 配置 信息 的 路 由 器 宣告 (Router Advertisement) 作为 
啊 应 。 主 机 用 它 从 路 由 吉 得 到 的 全 球 地 址 前 绥 加 上 自己 的 接口 了 DP， 目 动 配置 全 球 地 址 ， 然 后 就 
可 以 与 mternet 中 的 其 他 主机 通信 了 。 

如 条 本 地 网 络 扳 立 于 其 他 网 络 ， 则 节点 必须 寻找 配置 服务 器 来 完成 其 配置 ; 人 否则， 节点 必 
须 侦 听 路 由 器 宣告 报 文 。 这 些 报 文 周期 性 地 发 往 所 有 主机 的 组 播 地 址 ， 以 指明 诸如 网 络 地 址 和 
子 网 地 址 等 配置 信息 。 节 点 可 以 等 待 路 由 器 宣告 ， 也 可 以 通过 友 送 组 播 请 求 给 万 有 路 由 器 的 组 
播 地 址 来 请 求 路 由 器 发 送 宣 告 。 一 旦 收 到 路 由 器 的 啊 应 ， 节 点 驶 可 以 使 用 啊 应 的 信息 来 完成 目 
动 配置 。 
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5) 邻 节点 发 现 过 程 

邻居 发 现 协议 使 用 一 系列 的 卫 v6 控制 信息 报 文 来 实现 相 邻 节点 的 信息 交互 管理 ， 并 在 一 
个 子 网 中 保持 网 络 层 地 址 和 链 路 层 地址 之 间 的 映射 。 邻 居 发 现 协议 中 定义 了 3 种 类 型 的 信息 : 
路 由 器 宣告 、 路 由 大 请 求 、 路 由 重 定向 、 邻 居 请 求 和 邻居 宣告 。 

邻 节点 发 现 过 程 具体 如 下 : 

G 路 由 器 发 现 : 即 帮 助 主 机 来 识别 本 地 路 由 吉 。 

G@ 前 绥 发 现 ; 贡 点 使 用 此 机 制 来 确定 指明 链 路 本 地 地 址 的 地 址 前 缀 以 及 必须 发 送 给 路 由 
器 转发 的 地 址 前 绥 。 

G@) 参数 发 现 : 帮助 节点 确定 诸如 本 地 链 路 MIU 之 类 的 信息 。 

蝎 地 址 目 动 配置 : 用 于 卫 v6 布点 目 动 配置 。 

@@ 地 址 解析 : 蔡 代 了 ARP 和 RARP， 帮 助 节点 从 目的 卫 地 址 中 确定 本 地 节点 〈 即 邻居 ) 
的 链 路 层 地 址 。 

G) 下 一 跳 确 定 : 可 用 于 确定 包 的 下 一 个 目的 地 ， 即 可 确定 包 的 目的 地 是 否 在 本 地 链 路 上 。 
如 果 在 本 地 链 路 ， 下 一 跳 就 是 目的 地 ;否则 ， 包 需要 选 路 ， 下 一 跳 就 是 路 由 器 ， 邻 居 发 现 可 用 
于 确定 应 使 用 的 路 由 堆 。 

CD 邻 届 不 可 达 检 测 : 帮助 节点 确定 邻 届 《目的 节点 或 路 由 器 ) 是 否 可 达 。 

重复 地 址 检测 : 帮助 节点 确定 它 想 使 用 的 地 址 在 本 地 链 路 上 是 否 已 被 占用 。 

G@) 重 定 癌 : 有 时 节点 选择 的 转发 路 由 需 对 于 符 转 发 的 包 而 言 并 非 最 佳 。 这 种 情况 下 ， 该 
转发 路 由 器 可 以 对 节点 进行 重 定 同 ， 使 它 将 包 发 送 给 更 佳 的 路 由 噩 。 


2.3.2 ICMP 协议 


ICMP 〈JInternet Control Message Protocol) 与 卫 协议 同属 于 网 络 层 ， 用 于 传送 有 关 通 信和 问 
题 的 消息 ， 例 如 数据 报 不 能 到 达 目 标 站 ， 路 由 器 没有 足够 的 缓存 空间 ， 或 者 路 由 堪 同 发 送 主机 
提供 最 短 通路 信息 等 。ICMP 报 文 封闭 在 卫 数据 报 中 传送 ， 因 而 不 保证 可 靠 的 提交 。ICMP 报 
文 有 11 种 之 多 ， 报 文 格式 如 图 2-7 所 示 。 其 中 ， 类 型 字段 表示 ICMP 报 文 的 类 型 ， 代 码 字 段 可 
表示 报 文 的 少量 参数 ; 当 参 数 较 多 时 写 入 32 位 的 参数 字段 ; ICMP 报 文 携带 的 信息 包含 在 可 变 
长 的 信息 字段 中 ， 校 验 和 字段 是 关于 整个 ICMP 报 文 的 校 验 和 。 


言 轧 〈 可 变 长 ) 


图 2-7_ ICMP 报 文 格 式 


ICMP 报 文 包括 以 下 类 型 
。 目标 不 可 到 达 《 类 型 3) : 如 果 路 由 器 判断 出 不 能 把 耳 数据 报 送 达 目 标 主 机 ， 则 向 源 主 
机 返回 这 种 报 文 。 另 一 种 情况 是 目标 主机 找 不 到 有 关 的 用 户 协议 或 上 层 服务 访 问 点 ， 也 会 
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返回 这 种 报 文 。 出 现 这 种 情况 的 原因 可 能 是 卫 头 中 的 字段 不 正确 ;或 者 是 数据 报 中 说 明 
的 源 路 由 无 效 ， 也 可 能 是 路 由 器 必须 把 数据 报 分 段 ， 但 耳 头 中 的 D 标志 已 置 位 。 

e。 超时 〈 类 型 11) : 路 由 器 发 现 卫 数据 报 的 生存 期 已 超时 ， 或 者 目标 主机 在 一 定时 间 
内 无 法 完成 重 装配 ， 则 回 源 疹 返 回 这 种 报 文 。 

e。 源 抑 制 〈 类 型 4) : 这 种 报 文 提 供 了 一 种 流量 控制 的 初等 方式 。 如 果 路 由 器 或 目标 主 
机 缓冲 资源 耗 尽 而 必须 丢弃 数据 报 ， 则 每 丢弃 一 个 数据 报 就 问 源 主机 发 回 一 个 源 抑制 
报 文 ， 这 时 源 主机 必须 减 小 发 送 速 度 。 另 外 一 种 情况 是 系统 的 缓冲 区 已 用 完 ， 并 预感 
到 行将 发 生 拥 塞 ， 则 发 出 源 抑制 报 文 。 但 是 与 前 一 种 情况 不 同 ， 涉 及 的 数据 报 尚 能 提 
交 给 目标 主机 。 

e。 ”人 参数 问题 〈 类 型 12) : 如 果 路 由 吉 或 主机 判断 出 卫 头 中 的 字段 或 语义 出 错 ， 则 返回 
这 种 报 文 ， 报 文 头 中 包含 一 个 指 回 出 错字 段 的 指针 。 

e。 路 由 重 定 向 〈 类 型 S) : 路 由 器 问 直 接 相 连 的 主机 发 出 这 种 报 文 ， 告 诉 主机 一 个 更 短 
的 路 径 。 例 如 路 由 器 R1 收 到 本 地 网 络 上 主机 发 来 的 数据 报 ，R1 检查 它 的 路 由 表 ， 发 
现 要 把 数据 报 发 往 网 络 X, 必须 先 转 发 给 路 由 器 R2, 而 R2 又 与 源 主 机 在 同一 网 络 中 ， 
于 是 R1l 向 源 主 机 发 出 路 由 重 定 回 报 文 ， 把 R2 的 地 址 告诉 它 。 

e。 回声 《请求 / 啊 应 ， 类 型 0) : 用 于 测试 两 个 节点 之 间 的 通信 线路 是 否 畅通 。 收 到 回声 
请 求 的 节点 必须 发 出 回声 啊 应 报 文 。 该 报 文中 的 标识 符 和 序列 号 用 于 匹配 请 求 和 啊 应 报 
文 。 当 连续 发 出 回声 请 求 时 ， 序 列 号 连续 递增 。 和 常用 的 PING 工具 就 是 这 样 工 作 的 。 

e。 时 间 惟 《请 求 / 啊 应 ， 类 型 13/14) : 用 于 测试 两 个 节点 之 间 的 通信 延迟 时 间 。 请 求 方 
发 出 本 地 的 发 送 时 间 ， 啊 应 方 返 回 上 自己 的 接收 时 间 和 发 送 时 间 。 这 种 应 答 过 程 如 果 结 
合 强制 路 由 的 数据 报 实现 ， 则 可 以 测量 出 指定 线路 上 的 通信 延迟 。 

e。 ， 地址 掩 码 《请求 / 响 应 ， 类 型 17/118) : 主机 可 以 利用 这 种 报 文 获得 它 所 在 的 LAN 的 子 
网 掩 码 。 首 先 主 机 广播 地 址 掩 码 请 求 报 文 ， 同 一 LAN 上 的 路 由 器 以 地 址 掩 码 啊 应 报 
文 回 答 ， 告 诉 请 求 方 需要 的 子 网 掩 码 。 了 解 子 网 掩 码 可 以 判断 出 数据 报 的 目标 节点 与 
源 节 点 是 否 在 同一 LAN 中 。 


2.3.3 ARP 协议 


IP 地 址 是 分 配给 主机 的 逻辑 地 址 ， 在 因特网 络 中 表示 唯一 的 主机 。 似 乎 有 了 卫 地 址 就 可 
以 方便 地 访问 某 个 子 网 中 的 某 个 主机 ， 寻 址 问题 就 解决 了 。 其 实 不 然 ， 还 必须 考虑 主机 的 物理 
地 址 问题 。 

由 于 互 连 的 各 个 子 网 可 能 源 于 不 同 的 组 织 ， 运 行 不 同 的 协议 〈 异 构 性 ) ， 因 而 可 能 采用 不 
同 的 编 址 方法 。 任 何 子 网 中 的 主机 至 少 都 有 一 个 在 子 网 内 部 唯一 的 地 址 ， 这 种 地 址 都 是 在 子 网 
建立 时 一 次 性 指定 的 ， 甚 至 可 能 是 与 网 络 硬件 相关 的 ， 我 们 把 这 个 地 址 叫 作 主 机 的 物理 地 址 或 
硬件 地 址 。 

物理 地 址 和 逻辑 地 址 的 区 别 可 以 从 两 个 角度 看 : 从 网 络 互 连 的 角度 看 ， 罗 辑 地 址 在 整个 因 
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特 网 络 中 有 效 , 而 物理 地 址 只 是 在 子 网 内 部 有 效 ; 从 网 络 协议 分 层 的 角度 看 , 逻辑 地 址 由 Internet 
层 使 用 ， 而 物理 地 址 由 子 网 访问 子 层 〈 有 具体 地 说 了 加 是 数据 链 路 层 ) 使 用 。 由 于 有 两 种 主机 地 址 ， 
因此 需要 一 种 映像 关系 把 这 两 种 地 址 对 应 起 来 。 在 Internet 中 是 用 地 址 分 解 协 议 〈Address 
Resolution Protocol，ARP ) 来 实现 逻辑 地 址 到 物理 地 址 映像 的 。 


1.ARP 分 组 格式 
ARP 分 组 的 格式 如 图 2-8 所 示 ， 各 字段 的 含义 解释 如 下 。 


本 伯 关 型 
可 件 地 址 长 度 | 。 协议 地 址 长 


发 送 节点 人 硬件 地 址 


发 送 贡 点 协议 地 址 
目标 节点 人 硬件 地 址 
目标 节点 协议 地 址 


图 2-8 ARP/RARP 分 组 格式 


e。 便 件 类 型 : 网 络 接口 硬件 的 类 型 ， 对 以 太 网 此 值 为 1。 
e。 协议 类 型 : 发 送 方 使 用 的 协议 ，0800H 表示 王 协议 。 
e。 ， 便 件 地 址 长 度 : 对 以 太 网 ， 地 址 长 度 为 6 字 市 。 
e 协议 地 址 长 度 : 对 卫 协议 ， 地 址 长 度 为 4 字 节 。 
e。 操作 : 
> ”1 一 一 ARP 请 求 。 
> “2 一 一 ARP 响应 。 
> 3 RARP 请 求 。 
> “4 一 一 RARP 响应 。 
通常 ，Internet 应 用 程序 把 要 发 送 的 报 文 交 给 了 P， 了 PP 协议 当然 知道 接收 方 的 逻辑 地 址 〈 生 
则 就 不 能 通信 了 ) ， 但 不 一 定 知 道 接 收 方 的 物理 地 址 。 在 把 卫 分 组 癌 下 传送 给 本 地 数据 链 路 实 
体 之 前 ， 可 以 用 两 种 方法 得 到 目标 物理 地 址 。 
(1) 查 本 地 内 存 的 ARP 地 址 映像 表 ， 通 常 ARP 地 址 映像 表 的 逻辑 结构 如 表 2-1 所 示 。 可 
以 看 出 这 是 卫 地 址 和 以 太 网 地 址 的 对 照 表 。 


表 2-1 ARP 地 址 映像 表 的 例子 


IP 地 址 以 太 网 地 址 
130.130.87.1 08 00 39 00 29 D4 
129.129.52 .3 08 00SA21 17 22 


【3 08 00 10 99 Al 44 
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(2) 如 果 ARP 表 查 不 到 ,就 广播 一 个 ARP 请 求 分 组 ， 这 种 分 组 可 经 过 路 由 器 进一步 转发 ， 
到 达 所 有 连 网 的 主机 。 它 的 含义 是 : “如 果 你 的 卫 地 址 是 这 个 分 组 的 目标 地 址 ， 请 回答 你 的 物 
理 地 址 是 什么 。” 收 到 该 分 组 的 主机 一 方面 可 以 用 分 组 中 的 两 个 源 地 址 更 新 自己 的 ARP 地 址 映 
像 表 ， 另 一 方面 用 自己 的 耳 地 址 与 目标 耳 地 址 字段 比较 ， 若 相符 则 发 回 一 个 ARP 响应 分 组 ， 
向 发 送 方 报告 自己 的 硬件 地 址 ， 若 不 相符 则 不 予 回 答 。 

2. 代理 ARP 

所 谓 代理 ARP (Proxy ARP) ， 就 是 路 由 器 “假装 ”目标 主机 来 回答 ARP 请 求 ， 所 以 源 主 
机 必须 先 把 数据 帧 发 给 路 由 器 ， 再 由 路 由 器 转发 给 目标 主机 。 这 种 技术 不 需要 配置 默认 网 关 ， 
也 不 需要 配置 路 由 信息 , 就 可 以 实现 子 网 之 间 的 通信 。 用 于 说 明代 理 ARP 的 例子 如 图 2-9 所 示 ， 
设 子 网 A 上 的 主机 A 〈172.16.10.100) 需要 与 子 网 B 上 的 主机 D 〈172.16.20.200) 通信 。 

人 A B 


172.16.10.100/16 172.16.10.200/24 
00-00-0c-94-36-aa 00-00-0c-94-36-bb 


e0 172.16.10.99/24 Subnet A 
00-00-0c-94-36-ab 


ne 
| 
二 


Rouker 
el 172.16.20.99/24 


00-00-0c-94-36-cd Subnet 也 
172.16.20.100/24 172.16.20.200/24 
00-00-0c-94-36-cc 00-00-0c-94-36-dd 
C D 


图 2-9 代理 ARP 的 例子 


图 中 的 主机 A 有 一 个 16 位 的 子 网 掩 码 , 这 意味 看 主机 A 认 为 它 直 接连 接 到 网 络 172.16.0.0。 
当主 机 A 需要 与 它 直 接连 接 的 设备 通信 时 ， 它 就 癌 目 标 发 送 一 个 ARP 请 求 。 当 主机 A 需要 主 
机 了 D 的 MAC 地 址 时 ， 它 在 子 网 A 上 广播 的 ARP 请 求 分 组 如 下 。 


发 送 者 的 MAC 地 址 发 送 者 的 卫 地 址 目标 的 MAC 地 址 目标 的 卫 地 址 
00-00-0c-94-36-aa 172.16.20.200 


这 个 请 求 的 含义 是 要 求 主 机 D 〈172.16.20.200) 回答 它 的 MAC 地 址 。ARP 请 求 分 组 被 包 
装 在 以 太 帧 中 ， 其 源 地 址 是 A 的 MAC 地址， 而 目标 地 址 是 广播 地 址 (FFFF.FFFF.FFFF) 。 由 
于 路 由 器 不 转发 广播 帧 ， 所 以 这 个 ARP 请 求 上 只 能 在 子 网 A 中 传播 ， 到 不 了 主机 D。 如 果 路 由 
器 知道 目标 地 址 〈172.16.20.200) 在 另外 一 个 子 网 中 ， 它 就 以 自己 的 MAC 地 址 回答 主机 A， 
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路 由 器 发 送 的 应 答 分 组 如 下 。 


发 送 者 的 I 地 址 目标 的 MAC 地 址 


这 个 应 答 分 组 封装 在 以 太 帧 中 ， 以 路 由 器 的 MAC 地 址 为 源 地 址 ， 以 主机 A 的 MAC 地 址 为 目 
标 地 址 ，ARP 应 答 帧 是 单 播 传送 的 。 在 接收 到 ARP 应 答 后 ， 主 机 A 就 将 它 的 ARP 表 更 新 如 下 。 


IJP Address MAC Address 
172.10.20.200 00-00-0c-94-36-ab 


目标 的 了 P 地 址 
172.16.10.100 


发 送 者 的 MAC 地 址 
00-00-0c-94-36-ab 


从 此 以 后 , 主机 A 就 把 所 有 给 主机 D(172.16.20.200) 的 分 组 发 送 给 MAC 地 址 为 00-00-0c- 
94-36-ab 的 主机 ， 这 束 是 路 由 堪 的 网 卡 地 址 。 

通过 这 种 方式 , 子 网 A 中 的 ARP 了 映像 表 都 把 路 由 器 的 MAC 地 址 当 作 子 网 B 中 主机 的 MAC 
地 址 。 例 如 ， 主 机 A 的 ARP 映像 表 如 下 。 


IPAddress MAC Address 
172.10.20.200 00-00-0c-94-36-ab 
172.16.20.100 00-00-0c-94-36-ab 
172.16.10.99 00-00-0c-94-36-ab 
172.16.10.200 00-00-0c-94-306-bb 


多 个 卫 地 址 被 映像 到 一 个 MAC 地 址 这 一 事实 正 是 代理 ARP 的 标志 。 

RARP (Reverse Address Resolution Protocol) 是 反 回 ARP 协议 ， 即 由 人 硬件 地 址 得 找 逻 辑 地 址 。 
通常 ， 主 机 的 卫 地 址 保存 在 硬盘 上 ， 机 器 关 电 时 也 不 会 丢失 ， 系 统 局 动 时 自动 读 入 内 存 中 。 但 是 ， 
无 盘 工作 站 无 法 保存 卫 地 址 ， 它 的 卫 地址 由 RARP 服务 器 保存 。 当 无 盘 工 作 站 启动 时 ， 广 播 一 个 
RARP 请 求 分 组 ， 把 自己 的 人 硬件 地 址 同时 写 入 发 送 方 和 接收 方 的 硬件 地 址 字段 中 。RARP 服务 器 接 
收 这 个 请 求 ， 并 填写 目标 卫 地 址 字段 ， 把 操作 字段 改 为 RARP 响应 分 组 ， 送 回 请 求 的 主机 。 


2.4 路 由 协议 


因特网 由 不 同 的 上 自治 系统 互 连 而 成 。 目 治 系统 内 采用 内 部 网 关 协 议 〈Interior Gateway 
Protocol，IGP) 进行 路 由 选择 ， 可 能 选择 不 同 的 路 由 表 、 不 同 的 路 由 选择 算法 。 在 不 同 目 治 系 
统 之 间 用 外 部 网 关 协 议 〈Exterior Gateway Protocol，EGP) 交换 路 由 信息 。 例 如 若干 个 校园 网 
通过 广域网 互 连 就 是 这 种 情况 , 如 图 2-10 所 示 。 和 用 内 部 路 由 协议 包括 路 由 信息 协议 (Routing 
Information Protocol，RIP) 、 开 放 最 短路 径 优先 协议 〈Open Shortest Path First，OSPF) 、 中 间 
系统 到 中 间 系 统 的 协议 〈Intermediate System to Intermediate System，IS-IS) 、 内 部 网 关 路 由 协 
以 〈Interior Gateway Routing Protocol，IGRP) 和 增强 的 IGRP 协议 〈Enhanced IGRP，EIGRP ) 。 
外 部 网 关 协 议 有 BGP 协议 。 
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As1l AS2 


图 2-10 内 部 网 关 协 议和 外 部 网 关 协 议 
2.4.1 路 由 信息 协议 CRIP ) 


RIP 是 一 种 分 布 式 的 基于 距离 向 量 的 路 由 选择 协议 。 该 协议 定义 距离 就 是 经 过 的 路 由 器 的 
数目 ， 距 离 最 短 的 路 由 就 是 最 好 的 路 由 。 它 允许 一 条 路 径 最 多 只 能 包含 15 个 路 由 器 《限制 了 
网 络 的 规模 ) 。 距 离 的 最 大 值 为 16 时 即 为 不 可 达 。 所 以 RIP 不 能 在 两 个 网 络 之 间 同 时 使 用 多 
条 路 由 来 进行 负载 均衡 。 

RIP 协议 要 求 网 络 中 的 每 一 个 路 由 器 都 要 维护 从 它 自 己 到 其 他 每 一 个 目的 网 络 的 距离 记 
录 ， 并 依 此 来 形成 自己 的 路 由 表 ， 且 按 固 定时 间 “〈 一 般 为 308) 和 相 邻 路 由 器 交换 路 由 表 。 

RIP 协议 属于 应 用 层 协议 ， 它 使 用 传输 层 的 用 户 数据 报 UDP 进行 传送 。RIP 协议 的 格式 
及 它 和 UDP、 了 PP 协议 的 关系 如 图 2-11 所 示 。 
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图 2-11 RIP 协议 的 格式 及 它 和 UDP、 卫 协议 的 关系 
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RIP 协议 中 的 命令 字段 指出 报 文 的 意义 。 地 址 类 别 字段 指出 所 使 用 的 地 址 协议 ， 当 使 用 卫 
地 址 时 ， 该 字段 的 值 为 2。 路 由 标记 字段 应 该 写 入 自治 系统 号 。 一 个 RIP 报 文 最 大 长 度 为 504 
字 节 ， 这 是 因为 一 个 RIP 报 文 的 路 由 部 分 最 多 可 包含 25 个 路 由 信息 。 当 超过 504 字 区 的 最 大 
长 度 时 ， 就 应 该 再 用 一 个 RIP 报 文 来 传送 。 

RIP 的 特点 是 : “好 消息 传播 得 快 ， 坏 消息 传播 得 慢 。” 它 的 意思 是 ， 如 果 路 由 霹 发 现 了 一 个 
更 短 的 路 由 ， 这 个 消息 可 以 很 快 得 以 传播 ， 但 如 果 网 络 出 现 了 故障 ， 这 样 的 消息 会 传播 得 很 慢 。 


2.4.2 ”开放 最 短路 径 优先 协议 (OSPF ) 


OSPF 协议 是 分 布 式 的 链 路 状态 路 由 协议 。 链 路 在 这 里 代表 该 路 由 器 和 哪些 路 由 器 是 相 邻 
的 ， 即 通过 一 个 网 络 是 可 以 连通 的 ; 链 路 状态 说 明了 该 通路 的 连通 状态 以 及 距离 、 时 延 、 带 帘 
等 参数 。 在 该 协议 中 ， 只 有 当 链 路 状态 发 生变 化 时 ， 路 由 器 才 用 洪 泛 法 同 所 有 路 由 器 发 送 路 由 
信息 。 所 发 送 的 信息 是 与 本 路 由 堪 相 邻 的 所 有 路 由 器 的 链 路 状态 。 为 了 保存 这 些 链 路 状态 信息 ， 
每 个 路 由 器 都 会 建立 一 个 链 路 状态 数据 库 ， 因 为 路 由 堪 交换 信息 时 使 用 的 是 洪 泛 法 ， 所 以 每 个 
路 由 器 都 存 有 全 网 的 链 路 状态 信息 ， 也 就 是 说 每 个 路 由 器 都 知道 整个 网 络 的 连通 情况 和 拓扑 结 
构 。 这 样 每 个 路 由 器 都 可 以 根据 链 路 状态 数据 库 的 信息 来 构造 自己 的 路 由 表 。 

为 了 及 时 了 解 链 路 的 状态 情况 ,每 个 路 由 器 需要 定期 (10s) 同 邻 居 路 由 器 发 送 Hello 分 组 。 
如 果 40 秒 钟 还 没有 收 到 邻居 的 Hello 信息 ， 则 认为 该 邻居 是 不 连通 的 ， 应 该 立即 修改 链 路 状态 
数据 库 中 所 对 应 的 记录 ， 并 重新 计算 路 由 表 。 

除了 Hello 问候 分 组 外 ，OSPF 协议 还 有 四 种 分 组 : 链 路 状态 更 新 分 组 、 链 路 状态 确认 分 
组 、 链 路 状态 描述 分 组 和 链 路 状态 请 求 分 组 。 通 过 这 四 种 分 组 达到 全 网 链 路 数据 库 的 同步 。 链 
路 状态 更 新 分 组 是 正常 情况 下 ， 当 链 路 状态 发 生变 化 时 使 用 潜 泛 法 所 发 送 的 分 组 ， 链 路 状态 确 
认 分 组 是 对 链 路 状态 更 新 分 组 的 确认 ; 链 路 状态 描述 分 组 是 当 路 由 器 局 动 一 条 新 的 通路 时 ， 回 
邻居 路 由 器 所 发 送 的 分 组 ; 链 路 状态 请 求 分 组 是 在 与 邻居 路 由 器 交换 了 链 路 状态 描述 分 组 后 ， 
还 需要 其 他 自己 缺少 的 路 由 信息 时 所 使 用 的 分 组 。 

OSPF 协议 的 格式 及 它 与 卫 协议 的 关系 如 图 2-12 所 示 。 
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图 2-12 ”OSPF 协议 的 格式 及 它 与 卫 协议 的 关系 
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OSPF 协议 使 用 洪 泛 法 癌 网 络 中 所 有 路 由 需 发 送 链 路 状态 信息 ， 为 了 减 小 洪 泛 范围 ，OSPF 
协议 对 网 络 进 行 了 区 域 划 分 。 这 在 OSPF 协议 首部 的 区 域 标识 符 字 段 体 现 了 出 来 。 


2.4.3 1IS-IS 路 由 协议 


IS-IS (JIntermediate System to Intermediate System， 中 间 系 统 到 中 间 系 统 ) 路 由 协议 最 初 是 
ISO 〔〈 国 际 标准 化 组 织 ) 为 CLNP (Connection Less Network Protocol， 无 连接 网 络 协议 ) 设计 
的 一 种 动态 路 由 协议 。 为 了 提供 对 正路 由 的 文 持 ， 通 过 对 IS-IS 进行 扩充 和 修改 ， 使 TS-IS 能 
够 同时 应 用 在 TCP/P 环境 中 ， 形 成 了 集成 化 IS-IS， 用 于 城 域 网 和 承载 网 中 。 

IS-IS 协议 也 是 基于 链 路 状态 并 使 用 最 短路 径 优 先 算法 进行 路 由 计算 的 一 种 IGP 协议 。 
OSPF 具有 多 路 由 类 型 、 多 区 域 类 型 、 根 据 珊 宽 设 定 开销 规则 、 网 络 类 型 多 样 等 特点 ， 多 用 于 
园区 网 中 。IS-IS 则 具有 算法 快速 、 报 文 结构 价 便 、 快 速 建 立 邻 居 关 系 以 及 大 容量 路 由 传递 等 一 
系列 特点 ， 在 骨干 网 有 痢 天 然 的 优势 。 


1. 路 由 器 类 型 


在 IS-IS 中 , 路 由 器 可 以 分 为 三 种 类 型 : Level-1(L1) 路 由 器 、Level-2(L2) 路 由 器 、Level-1-2 
(LI1/2) 路 由 器 。 

(1) Level-l 路 由 器 ， 特 点 如 下 : 

e。 工 ] 路 由 吉 是 一 个 IS-IS 普通 区 域内 部 的 路 由 器 ， 只 能 在 非 骨干 区 域 中 存在 。 

e 工 1 路 由 器 只 能 与 属于 同一 区 域 的 L1 和 LI1/2 路 由 器 建立 工 ]1 邻接 关系 〈 不 能 与 站 2 路 
由 吉 建 立 邻 接 关 系 ) ， 交 换 路 由 信息 ， 并 维护 和 管理 本 区 域内 部 的 一 个 LI LSDB。 

e。 工 1 路 由 器 的 邻居 都 在 同一 个 区 域 中 , 其 LSDB 包含 本 区 域 的 路 由 信息 以 及 到 达 同 一 
区 域 中 最 近 LI1/2 路 由 器 〈 相 当 于 OSPF 中 的 ABR) 的 缺 省 路 由 ， 但 到 区 域外 的 数据 
需 由 最 近 的 直 1/2 路 由 器 进行 转发 。 

e。 也 就 是 说 ,LI1 路 由 器 只 能 转发 区 域内 的 报 文 ,或 者 将 到 达 其 他 区 域 的 报 文 转发 到 距离 
它 最 近 ， 且 在 同一 区 域 的 LIL/2 路 由 央 。 

(2) Level-2 路 由 器 ， 特 点 如 下 : 

e。 工 2 路 由 堪 是 骨干 区 域 中 的 路 由 器 ， 主 要 用 于 通过 与 普通 区 域 中 的 L1/2 路 由 器 连接 ， 
连接 骨干 区 域 和 非 骨 干 区域， 类 似 于 OSPF 网 络 中 的 BR〈 骨 干 路 由 器 ) ， 并 负责 在 不 
同 区 域 间 的 通信 。L2 路 由 堪 负 责 区 域 间 的 路 由 ， 它 可 以 与 相同 或 者 不 同 区 域 的 2 路 
由 吉 或 者 不 同 区 域 的 L1/2 路 由 器 形成 邻居 关系 。L2 路 由 堆 维 护 一 个 L2 的 LSDB， 访 
LSDB 包含 区 域 间 的 路 由 信息 。L2 路 由 器 只 可 能 建立 L2 的 邻接 关系 。 

e。 网 络 中 的 所 有 L2 路 由 器 和 所 有 L1/2 路 由 器 连接 在 一 起 共同 构成 IS-IS 网 络 的 骨干 网 
(注意 ， 不 是 骨干 区 域 ) ， 也 称 站 2 区 域 。IS-IS 中 的 直 2 区 域 不 是 一 个 特定 的 区 域 ， 是 
由 连接 网 络 中 各 个 区 域 的 一 部 分 路 由 器 组 成 的 ， 但 必须 是 连续 的 。 
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(3) Level-1-2 路 由 器 ， 特 点 如 下 : 

e。 1/2 路 由 器 类 似 于 OSPF 网 络 中 的 ABR 〈 区 域 边界 路 由 器 ) ， 用 于 区 域 间 的 连接 。 

e。 工 1/2 路 由 器 既 可 以 与 同一 普通 区 域 的 L1 路 由 器 以 及 其 他 LI1/2 路 由 器 建立 直 1 邻接 关 
系 ， 也 可 以 与 骨干 区 域 L2 路 由 器 建立 直 2 邻接 关系 。L1 路 由 器 必须 通过 L1/2 路 由 器 
才能 与 其 他 区 域 通信 。 

e。 1/2 路 由 器 必须 维护 以 下 两 个 LSDB: LI1 LSDB 用 于 区 域内 路 由 ，L2 LSDB 用 于 区 
域 间 路 由 。 但 要 注意 的 是 ，LL2 路 由 器 不 一 定 要 位 于 区 域 边界 ， 在 区 域内 部 也 有 可 能 
存在 LI1/2 路 由 器 。 


2. 网 络 分 层 路 由 域 


为 了 文 持 大 规模 的 路 由 网 络 ，IS-IS 在 自治 系统 内 采用 骨干 区 域 与 非 骨干 区 域 两 级 分 层 结 
构 , 如 图 2-13 所 示 。 一 般 来 说 ,将 Level-1 路 由 器 部 署 在 非 骨 干 区 域 , 将 Level-2 路 由 器 和 Level-1-2 
路 由 器 部 署 在 骨干 区 域 。 每 一 个 非 骨 干 区 域 都 通过 Level-1-2 路 由 器 与 骨干 区 域 相 连 。 


敬 囊 泗 : 司 生生 而 


mm 

局 着 男 ee 一 
一 

m 

m 必 


”Area 49.0002x 
2 | 吉 2 六 
,区 ` Area 49.0004 ， 

ClU2 、 1 


一 
生硬 "和 本 入 丁 思 


人 


Area 49.00 和 
42.0001 ， 一 一 Backbone 


和 二 人 


Area 49.0003 和 En 
图 2-13  IS-IS 分 层 路 由 结构 


在 OSPF 中 ， 骨 干 区 域 固定 为 Area 0， 且 非 骨 干 区 域 要 和 人 和 骨干 区 域 相 连 《〈 没 有 通过 物理 连 
接 的 话 则 要 进行 虚 连接 ) 。 但 是 在 IS-IS 中 : 

e。 可 以 有 多 个 骨干 区 域 ， 且 区 域 ID 不 固定 ; 

。 非 骨干 区 域 必须 和 骨干 区 域 物理 相连 《通过 1/2 路 由 船 ) ; 

e。 非 骨 干 区 域 之 间 不 能 直接 连接 。 

Level-1-2 级 别 的 路 由 器 可 以 属于 不 同 的 区 域 ， 在 Level-l 区 域 维护 Level-l 的 LSDB， 在 
Level-2 区 域 维 护 Level-2 的 LSDB。 


2.4.4 ”外 部 网 关 协 议 (BGP ) 


BGP 是 不 同 目 治 系统 的 路 由 器 之 间 交 换 路 由 信息 的 协议 。 由 于 Internet 的 规模 太 大 ， 使 得 
目 治 系统 之 间 路 由 选择 非常 困难 。 另 外 ， 对 于 自治 系统 之 间 的 路 由 选择 ， 要 寻找 最 佳 路 由 很 不 
现实 的 。 所 以 BGP 只 是 尽力 寻找 一 条 能 够 到 达 目 的 网 络 且 比 较 好 的 路 由 《不 能 兜 圈子 ) ， 而 
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不 像 内 部 网 关 协 议 一 样 要 寻找 一 条 最 佳 路 由 。 

每 一 个 目 治 系统 的 管理 员 要 选择 至 少 一 个 路 由 器 作为 该 自治 系统 的 “BGP 发 言 人 ”。BGP 
发 言 人 往往 就 是 BGP 边界 路 由 器 ， 但 也 可 以 不 是 BGP 边界 路 由 器 。 通 常 ， 两 个 BGP 发 言 
人 都 是 通过 一 个 共享 网 络 连 接 在 一 起 的 。 

当 一 个 BGP 发 言 人 与 其 他 自治 系统 中 的 BGP 发 言 人 交换 路 由 信息 时 ， 首 先 要 建立 
TCP 连接 ， 然 后 在 此 连接 上 交换 BGP 报 文 以 建立 BGP 会 话 〈session) ， 利 用 BGP 会 话 
交换 路 由 信息 。 

在 BGP 刚刚 运行 时 ，BGP 的 邻 站 是 交换 整个 的 BGP 路 由 表 。 但 以 后 只 需要 在 发 生变 化 
时 更 新 有 变化 的 部 分 。 这 样 做 对 节省 网 络 带宽 和 减少 路 由 器 的 处 理 开 销 方 面 都 有 好 处 。 

BGP 发 言 人 互相 交换 网 络 可 达 性 的 信息 后 ,各 BGP 发 言 人 就 可 找 出 到 达 各 自治 系统 的 比 
较 好 的 路 由 。 

BGP-4 共 使 用 四 种 报 文 : 

e。 打开 《〈Open) 报 文 ， 用 来 与 相 邻 的 另 一 个 BGP 发 言 人 建立 关系 。 

e。 更 新 〈Update) 报 文 ， 用 来 发 送 某 一 路 由 的 信息 ， 以 及 列 出 要 撤销 的 多 条 路 由 。 

e。 保 活 〈Keepalive) 报 文 ， 用 来 确认 打开 报 文 和 周期 性 地 证 实 邻 站 关系 。 

e。 通知 (Notification) 报 文 ， 用 来 发 送 检测 到 的 差错 。 

BGP 协议 的 格式 及 它 与 TCP 和 卫 协 议 的 关系 如 图 2-14 所 示 。 


性 十- 


字 节 


BCGP 首 诗 数据 部 分 


anemiaoennmnn 区 加 习 全 亦 


TCP 报 文 ES 


Y7 反 LA/ 
十 首 和 数据 部 分 


IP 数 据 报 


图 2-14 BGP 协议 的 格式 及 它 与 TCP 和 卫 协 议 的 关系 


2.4.5 “核心 网 关 协 议 


Internet 中 有 一 个 主干 网 ， 所 有 的 上 自治 系统 都 连接 到 主干 网 上 上。 这样 ，Internet 的 总 体 结 构 
如 图 2-1$ 所 示 ， 分 为 主干 网 和 外 围 部 分 ， 后 者 包含 所 有 的 自治 系统 。 
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图 2-15 Internet 的 总 体 结 构 


主干 网 中 的 网 关 叫 核心 网 关 。 核 心 网 关 之 间 交换 路 由 信息 时 使 用 核心 网 关 协 议 CGateway to 
Gateway Protocol，GGP) 。 这 里 要 区 分 EGP 和 GGP，EGP 用 于 两 个 不 同 自治 系统 之 间 的 网 关 
交换 路 由 信息 ， 而 GGP 是 主干 网 中 的 网 关 协 议 。 因 为 主干 网 中 的 核心 网 关 是 由 InterNOC 直接 
控制 的 ， 所 以 GGP 更 具有 专用 性 。 当 一 个 核心 网 关 加 入 主干 网 时 用 GGP 协议 同 邻 机 广播 发 送 
路 由 信息 ， 各 邻 机 更 新 路 由 表 ， 并 进一步 传播 新 的 路 由 信息 。 

网 关 交 换 的 路 由 信息 与 EGP 协议 类 似 ， 指 明 网 关连 接 哪些 网 络 ， 距 离 是 多 少 ， 距 离 也 是 
以 中 间 网 关 个 数 计 数 。GGP 协议 的 报 文 格 式 与 EGP 类 似 ， 报 文 分 为 以 下 4 类 : 

e。 路 由 更 新 报 文 : 发 送 路 由 信息 。 

e。 应答 报 文 ; 对 路 由 更 新 报 文 的 应 答 ， 分 衣 定 、 人 否定 两 种 。 

e。 测试 报 文 : 测试 相 邻 网 关 是 人 否 存在 。 

e。 网 络 接口 状态 报 文 : 测试 本 地 网 络 连 接 的 状态 。 


2.5 路 由 器 技术 


2.5.1 NAT 技术 


NATI 技术 主要 解决 卫 地 址 短缺 问题 ， 最 初 提 出 的 建议 是 在 子 网 内 部 使 用 局 部 地 址 ， 而 在 
子 网 外 部 使 用 少量 的 全 局 地 址 ， 通 过 路 由 喜 进 行内 部 和 外 部 地 址 的 转换 。 局 部 地 址 是 在 子 网 内 
部 独立 编 址 的 ， 可 以 与 外 部 地 址 重 登 。 这 种 想法 的 基础 是 ， 假 定 在 任何 时 候 ， 子 网 中 只 有 人 少数 
计算 机 需要 与 外 部 通信 , 可 以 让 这 些 计算 机 共享 少量 的 全 局 卫 地 址 。 后 来 根据 这 种 技术 又 开发 
出 其 他 一 些 应 用 ， 下 面 介 绍 两 种 最 主要 的 应 用 。 

(1) 第 一 种 应 用 是 动态 地 址 翻译 (Dynamic Address Translation ) 。 为 此 首先 引入 存根 域 C(Stub 
Domain) 的 概念 。 所 谓 存 根 域 ， 就 是 内 部 网 络 的 抽象 ， 这 样 的 网 络 只 处 理 源 和 目标 都 在 子 网 内 
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部 的 通信 。 任 何 时 候 ， 存 根 域 内 只 有 一 部 分 主机 要 与 外 界 通信 ， 甚 至 还 有 许多 主机 可 能 从 不 与 
外 界 通信 ， 所 以 整个 存根 域 上 只 需 共 享 少 量 的 全 局 卫 地 址 。 存 根 域 有 一 个 边界 路 由 器 ， 由 它 来 处 
理 域 内 主机 与 外 部 网 络 的 通信 。 在 此 做 以 下 假定 : 

e。 ， 11: 需要 翻译 的 内 部 地 址 数 。 

e。 1: 可 用 的 全 局 地 址 数 CNAT 地 址 ) 。 

当 mm:7. 翻译 满足 条 件 〈 关 过 1 且 天 2) 时 ， 可 以 把 一 个 大 的 地 址 空间 映像 到 一 个 小 的 地 
址 空间 。 所 有 NAT 地 址 放 在 一 个 绥 剖 区 中 , 并 在 存根 域 的 边界 路 由 器 中 建立 一 个 局 部 地 址 和 全 
局 地 址 的 动态 映像 表 ， 如 图 2-16 所 示 。 这 个 岁 显示 的 是 把 所 有 B 类 网 络 138.201.0.0 中 的 卫 地 
址 翻译 成 C 类 网 络 178.201.112.0 中 的 王 地 址 。 


SRC 138.201.148.32 SRCLC 178.201.112.34 


SRC 138.201.148.151 | 一 SRC 178.201.112.11 
DST 138.201.148.151，… DST 178.201.112.11 


动态 NAT 表 
内 部 由 NATI 了 
138.201.148.32 178.201.112.34 SRC: 海地 址 
138.201.148.15S1 178.201.112.11 DST: 目标 地 址 


图 2-16 动态 网 络 地 址 翻 详 


这 种 NAT 地 址 重用 有 以 下 特点 : 
e。 只 要 缓冲 区 中 存在 尚未 使 用 的 C 类 地 址 ， 任 何 从 内 回 外 的 连接 请 求 都 可 以 得 到 啊 应 ， 
并 且 在 边界 路 由 器 的 动态 NAT 表 为 之 建立 一 个 映像 表 项 。 

e。 如 采 内 部 主机 的 映像 存在 ， 可 以 利用 它 建立 连接 。 

e。 从 外 部 访问 内 部 主机 是 有 条 件 的 ， 即 动态 NAT 表 中 必须 存在 该 主机 的 映像 。 

动态 地 址 翻译 的 好 处 是 节约 了 全 局 卫 地 址 ， 而 且 不 需要 改变 子 网 内 部 的 任何 配置 ， 上 只 需 
在 边界 路 由 器 中 设置 一 个 动态 地 址 变换 表 就 可 以 工作 了 。 

(2) 另外 一 种 特殊 的 NAT 应 用 是 zz:1 翻译 ， 这 种 技术 也 叫 作伪 朔 〈Masquerading) ， 因 为 
用 一 个 路 由 器 的 卫 地 址 可 以 把 子 网 中 所 有 主机 的 卫 地 址 都 隐藏 起 来 。 如 果子 网 中 有 多 个 主机 
同时 都 要 通信 ， 那 么 还 要 对 端口 号 进行 翻译 ， 所 以 这 种 技术 经 音 被 称 为 网 络 地 址 和 姗 口 翻译 
(Network Address Port Translation，NAPT) 。 在 很 多 NAPT 实现 中 专门 保留 一 部 分 端口 号 给 伪 
装 使 用 ， 叫 作伪 装 端口 号 。 图 2-17 中 的 NAT 路 由 器 中 有 一 个 伪装 表 ， 通 过 这 个 表 对 端口 号 进 
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行 翻译 ， 从 而 隐藏 了 内 部 网 络 138.201.0.0 中 的 所 有 主机 。 


| 人 擅 冯 NAT 表 


SRL 195.11212.161: 0345] 
DST 193.46.94.115$: 80 


SRC 138.201.148.32: 1275 
DST 193.46.94.115$: 80 


SRL 19.,11212.101: 03452 


SRC 138.201.160.201: 4192 
、 人 过 3 


DST 53.12.198.15 2 


伪装 NAT 表 
EEC 天生 


138.201.148.32: 1273 03451 
03452 


138.201.160.201: 4192 
图 2-17 “地址 伪装 


可 以 看 出 ， 这 种 方法 有 以 下 特点 : 

e。 出 口 分 组 的 源 地 址 被 路 由 器 的 外 部 下 地 址 所 代替 , 出 口 分 组 的 源 端 口号 被 一 个 未 使 用 
的 伪 猜 端口 号 所 代替 。 

e。 如 果 进 来 的 分 组 的 目标 地 址 是 本 地 路 由 器 的 耳 地 址 , 而 目标 端口 号 是 路 由 器 的 伪 猜 端 
口号 , 则 NAT 路 由 峰 残 检 答 该 分 组 是 否 为 当前 的 一 个 伪 朔 会话， 并 试图 通过 伪 朔 表 对 
IP 地 址 和 端口 号 进行 翻译 。 

伪 疲 技术 可 以 作为 一 种 安全 手段 使 用 ， 借 以 限制 外 部 网 络 对 内 部 主机 的 访问 。 另 外 ， 还 可 

以 用 这 种 技术 实现 虚拟 主机 和 虚拟 路 由 ， 以 便 达 到 负载 均衡 和 提高 可 靠 性 的 目的 。 


2.5.2 IP 组 播 技术 


在 卫 组 播 模 式 下 ， 组 播 源 无 须知 道 所 有 的 组 成 员 ， 组 播 树 的 构建 是 由 接收 者 驱动 的 ， 是 
由 最 接近 接收 者 的 网 络 节点 完成 的 ， 这 样 建 立 的 组 播 树 可 以 扩展 到 很 大 的 范围 。 有 人 形容 卫 
组 播 模型 是 : 你 在 一 端 注入 分 组 ， 网 络 正 好 可 以 把 分 组 提交 给 任何 需要 的 接收 者 。 

组 播 成 员 可 以 来 自 不 同 的 物理 网 络 。 组 播 技 术 的 有 效 性 在 于 ， 在 把 一 个 组 播 分 组 提交 给 所 
有 组 播 成 员 时 ， 只 有 与 该 组 有 关 的 中 间 节 氮 可 以 复制 分 组 ， es 
传送 分 组 一 个 副本 。 所 以 利用 组 播 技术 可 以 提高 网 络 传输 的 效率 ， 减 少 主 干 网 拥塞 的 可 能 


1. 组 播 地 址 


通 音 有 两 种 组 播 地 址 : 一 种 是 卫 组 播 地 址 ; 另 一 种 是 以 太 网 组 播 地 址 。 卫 组 播 地 址 在 互 
联网 中 标识 一 个 组 , 把 王 组 播 数 据 报 封装 到 以 太 帧 中 时 要 把 卫 组 播 地 址 映像 到 以 太 网 的 MAC 
地 址 ， 其 映像 方式 是 把 下 地 址 的 低 23 位 复制 到 MAC 地 址 的 低 23 位 ， 如 图 2-18 所 示 。 


SRC: 源 地 址 
DST: 目标 地 址 
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气 “ Ra 略 
24 31 


on 


把 组 地 址 的 低 23 位 
复制 到 以 太 网 地 址 中 


00000001100000000101011110 | 
和 信人 二 辣 地 上 且 “一 -neroummennd 


第 1 个 字 节 中 的 最 低位 置 1 表 示 组 播 
图 2-18 组 播 地 址 与 MAC 地 址 的 映像 


IPv4 的 D 类 地 址 是 组 播 地 址 ， 用 作 一 个 组 的 标识 符 ， 其 地 址 范围 是 224.0.0.0 一 
239.255.25$.2$5。 按 照 约 定 ，D 类 地 址 被 划分 为 3 类 : 
e。 224.0.0.0 一 224.0.0.255: 保留 地 址 ， 用 于 路 由 协议 或 其 他 下 层 拓 扑 发 现 协议 以 及 维护 
管理 协议 等 ， 例 如 224.0.0.1 代表 本 地 子 网 中 的 所 有 主机 ，224.0.0.2 代表 本 地 子 网 中 的 
所 有 路 由 器 ，224.0.0.5 代表 所 有 OSPF 路 由 器 ，224.0.0.9 代表 所 有 RIP 2 路 由 器 ， 
224.0.0.12 代表 DHCP 服务 器 或 中 继 代理 ，224.0.0.13 代表 所 有 支持 PIM 的 路 由 器 等 。 
e。 224.0.1.0 一 238.255.255$.2$$: 用 于 全 球 范围 的 组 播 地 址 分 配 ， 可 以 把 这 个 范围 的 D 类 
地 址 动态 地 分 配给 一 个 组 播 组 ， 当 一 个 组 播 会 话 停止 时 ， 其 地 址 被 收回 ， 以 后 还 可 以 
分 配给 新 出 现 的 组 播 组 。 
e。 239.0.0.0 一 239.255.255.25$: 在 管理 权限 范围 内 使 用 的 组 播 地 址 ， 限 制 了 组 播 的 范围 ， 
可 以 在 本 地 子 网 中 作为 组 播 地 址 使 用 。 
为 了 避免 使 用 ARP 协议 进行 地 址 分 解 ，IANA “互联 网 数字 分 配 机 构 ) 保留 了 一 个 以 太 网 
地 址 块 0x0100.SE00.0000 用 于 映像 卫 组 播 地 址 ， 其 中 第 1 个 字 节 的 最 低位 是 IG 
(IndividualGroup) ， 应 设置 为 “1”， 以 表示 以 太 网 组 播 ， 所 以 MAC 组 播 地 址 的 范围 是 0x010 
0.5SE00.0000 一 0x0100.SE7F.FFFF。 
按照 这 种 地 址 映像 方式 ， 了 王 地 址 的 5 位 被 忽略 ， 因 而 造成 了 32 个 不 同 的 组 播 地 址 对 应 于 
同一 个 MAC 地 址 ， 产 生地 址 重 登 现象 。 例 如 ， 考 虑 表 2-2 所 示 的 两 个 D 类 地 址 ， 由 于 最 后 的 
23 位 是 相同 的 ， 所 以 会 被 映像 为 同一 个 MAC 地 址 0x0100.5SE1A.0A05。 


表 2-2 ”组 播 地 址 重 仅 的 例 


十 进 制 表示 二 进 制 表示 十 六 进 制 表示 
224. 26.10.5 11100000.00011010.00001010.00000101 0x E0.1A.0A.05 
236.154.10.5 11101100.10011010.00001010.00000101 0x EC.9A.0A.05 


虽然 从 数学 上 说 ， 可 能 有 32 个 卫 组 播 地 址 会 产生 重 登 ， 但 是 在 现实 中 却 是 很 少 发 生 的 。 
即使 不 幸 出 现 了 地 址 重 有 登 情 况 ， 其 影响 就 是 有 的 站 收 到 了 不 期 望 接 收 的 组 播 分 组 ， 这 比 所 有 站 
都 收 到 了 组 播 分 组 的 情况 要 好 得 多 。 在 设计 组 播 系统 时 要 尽量 避免 多 个 卫 组 播 地 址 对 应 同一 个 
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MAC 地 址 的 情况 出 现 ， 同 时 ， 用 户 在 收 到 组 播 以 太 帧 时 ， 要 通过 软件 检查 卫 源 地 址 字段 ， 以 
确定 是 否 为 期 望 接 收 的 组 播 源 的 地 址 。 


2. 因特网 组 党 理 协 议 


IGMP 〈Internet Group Management Protocol) 是 在 IPv4 环境 中 提供 组 管理 的 协议 ， 参 加 组 
播 的 主机 和 路 由 需 利 用 IGMP 交换 组 播 成 员 资 格 信息 ， 以 文 持 主机 加 入 或 离开 组 播 组 。 在 IPv6 
环境 中 ， 组 管理 协议 已 经 合并 到 ICMPv6 协议 中 ， 不 再 需要 单独 的 组 管理 协议 。 

REFC 3376 定义 了 IGMPv3 成 员 资 格 询问 和 报告 报 文 ,也 定义 了 组 记录 的 格式 ，IGMP 报 文 
封 帮 在 卫 数据 报 中 传输 。 

成 员 资 格 询问 报 文 由 组 播 路 由 器 有 友 出 ， 分 为 3 种 子 类 型 : 

e。 通用 询问 : 路 由 堪 用 于 了 解 在 它 连 接 的 网 络 上 有 哪些 组 的 成 员 。 

e。 组 专用 询问 : 路 由 器 用 于 了 解 在 它 连 接 的 网 络 上 一 个 具体 的 组 是 否 有 成 员 。 

e。 组 和 源 专 用 询问 : 路 由 器 用 于 了 解 它 所 连接 的 主机 是 否 愿 意 加 入 一 个 特定 的 组 。 


2.5.3 ”第 三 层 交 换 


所 谓 第 三 层 交 换 ， 是 指 利用 第 二 层 交 换 的 高 带宽 和 低 延 迟 优势 尽快 地 传送 网 络 层 分 组 的 技 
术 。 交 换 与 路 由 不 同 ， 前 者 用 硬件 实现 ， 速 度 快 ， 而 后 者 由 软件 实现 ， 速 度 慢 。 三 层 交 换 机 的 
工作 诛 理 可 以 概括 为 : 一 次 路 由 ， 多 次 交换 。 也 就 是 说 ， 当 三 层 交 换 机 第 一 次 收 到 一 个 数据 包 
时 必须 通过 路 由 功能 寻找 转发 端口 ， 同 时 记 住 目标 MAC 地 址 和 源 MAC 地 址 ， 以 及 其 他 有 关 
信息 ， 当 再 次 收 到 目标 地 址 和 源 地 址 相同 的 帧 时 就 直接 进行 交换 ， 不 再 调用 路 由 功能 。 所 以 ， 
三 层 交 换 机 不 但 具有 路 由 功能 ， 而 且 比 通 第 的 路 由 器 转发 得 更 快 。 

IETF (互联 网 工程 任务 组 ) 开发 的 多 协议 标记 交换 (Multi-Protocol Label Switching，MPLS ) 
把 第 2 层 的 链 路 状态 信息 〈 宽 、 延 迟 、 利 用 率 等 ) 集成 到 第 3 层 的 协议 数据 单元 中 ， 从 而 简 
化 和 改进 了 第 3 层 分 组 的 交换 过 程 。 理 论 上 ，MPLS 支持 任何 第 2 层 和 第 3 层 协 议 。MPLS 包 
头 的 位 置 界 于 第 2 层 和 第 3 层 之 间 ， 可 称 为 第 2.3 层 ， 标 准 格式 如 图 2-19 所 示 。MPLS 可 以 承 
载 的 报 文通 利 是 卫 包 ， 当 然 也 可 以 直接 承载 以 太 帧 、AAL5S 包 ， 甚 至 AIM 信和 元 等 。 承 载 MPLS 
的 第 2 层 协议 可 以 是 PPP、 以 太 帧 、AITM 和 帧 中 继 等 ， 如 图 2-20 所 示 。 


试验 功能 


堆栈 位 
图 2-19 ”MPLS 标记 的 标准 格式 
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图 2-20 ”MPLS 包头 的 位 置 


当 分 组 进入 MPLS 网 络 时 ， 标 记 边 缘 路 由 器 〈Label Edge Router，LER ) 就 为 其 加 上 一 个 
标记 ， 这 种 标记 不 仅 包 含 了 路 由 表 项 中 的 信息 《目标 地 址 、 融 宽 和 延迟 等 ) ， 而 且 还 引用 了 耳 
头 中 的 源 地 址 字段 、 传 输 层 端口 号 和 服务 质量 等 。 这 种 分 类 一 旦 建立 ， 分 组 就 被 指定 到 对 应 的 
标记 交换 通路 〈Label Switch Path，LSP) 中 ， 标 记 交 换 路 由 器 〈Label Switch Router，LSR) 将 
根据 标记 来 处 置 分 组 ， 不 再 经 过 第 3 层 转 发 ， 从 而 加 快 了 网 络 的 传输 速度 。 

MPLS 可 以 把 多 个 通信 流 汇 聚 成 为 一 个 转发 等 价 类 〈Forwarding Equivalence Class，EFEC) 。 
LER 根据 目标 地 址 和 痛 口 号 把 分 组 指派 到 一 个 等 价 类 中 ， 在 LSR 中 只 需 根 据 等 价 类 标记 查找 标 
记 信息 库 〈Label Information Base，LIB) ， 确 定 下 一 中 的 转发 地 址 ， 这 样 使 得 协议 更 具 伸 缩 性 。 

MPLS 标记 具有 局 部 性 ， 一 个 标记 只 是 在 一 定 的 传输 域 中 有 效 。 在 网 2-21 中 ， 有 和 A、B、 
C 三 个 传输 域 和 两 层 路 由 。 在 A 域 和 C 域内 ， 了 王 包 的 标记 栈 只 有 一 层 标记 L1;， 而 在 B 域内 ， 
IP 包 的 标记 栈 中 有 两 层 标记 L1 和 L2。LSR4 收 到 来 自 LSR3 的 数据 包 后 ， 将 1 层 的 标记 换 成 
目标 LSR7 的 路 由 值 ， 同 时 在 标记 栈 增加 一 层 标 记 L2， 称 为 入 栈 。 在 B 域内 ， 只 需 根据 标记 栈 
的 最 上 层 2 标记 进行 交换 即 可 。LSR7 收 到 来 目 LSR6 的 数据 包 后 ， 应 首先 将 数据 包 最 上 层 的 
L2 标记 弹出 ， 其 下 层 LI1 标记 变 成 最 上 层 标 记 ， 称 为 出 栈 ， 然 后 在 C 域 中 进行 路 由 处 理 。 
传输 方 回 


Ce rrol 
图 2-21 多 层 标记 的 例子 


MPLS 转发 处 理 简 单 ， 提 供 显 式 路 由 ， 能 进行 业务 规划 ， 提 供 QoS 保障 ， 提 供 多 种 分 类 粒 
度 ， 用 一 种 转发 方式 实现 各 种 业务 的 转发 。 与 IP over ATM 技术 相 比 ，MPLS 具有 可 扩展 性 强 、 


国 :06 国 6 网 络 规划 设计 师 教程 (第 2 版 ) 


兼容 性 好 、 易 于 管理 等 优点 。 但 是 ， 如 何 寻找 最 短路 径 ， 如 何 管理 每 条 LSP 的 QoS 特性 等 技 
术 问 题 还 在 讨论 之 中 。 


2.5.4 |IP QoS 技术 


因特网 提供 尽力 而 为 〈Best-Effort) 的 服务 ， 但 是 由 于 因特网 对 服务 质量 不 做 任何 承 话 ， 
所 以 对 于 各 种 多 媒体 应 用 不 能 提供 必要 的 支持 。 由 此 ，IETF 成 立 了 专门 的 工作 组 ， 一 直 从 事 卫 
Qos 标准 的 开 有 发， 首先 是 在 1994 年 提出 了 集成 服务 体系 结构 〈Integrated Service Architecture， 
ISA) (REFC 1633) ， 继 而 又 在 1998 年 定义 了 区 分 服务 (Differentiated Service，DiffServ) 技 
术 规 范 (RFC 2475) 。 另 外 ， 前 面 讲 到 的 MPLS 技术 提供 了 显 式 路 由 功能 ， 因 而 增强 了 在 卫 
网 络 中 实施 流量 工程 的 能 力 ， 这 也 是 骨干 网 业务 中 最 容易 实现 的 一 种 QoS 机 制 。 


1. 集成 服务 


IETF 集成 服务 〈IntServ) 工作 组 根据 服务 质量 的 不 同 ， 把 Internet 服务 分 成 了 3 种 类 型 

(1) 保证 质量 的 服务 (Guaranteed Services) : 对 带宽 、 时 延 、 抖 动 和 丢 包 率 提 供 定 量 的 
保证 。 

(2 ) 控制 负载 的 服务 (Controlled-load Services) : 提供 一 种 类 似 于 网 络 从 载 情况 下 的 服务 ， 
这 是 一 种 定性 的 指标 。 

(3) 尽力 而 为 的 服务 (Best-Effort) : 这 是 Internet 提供 的 一 般 服 务 ， 基 本 上 无 任何 质量 
保证 。 

IntServ 主要 解决 的 问题 是 在 发 生 拥 塞 时 如 何 共 享 可 用 的 网 络 带宽 , 为 保证 质量 的 服务 提供 
必要 的 文 持 。 在 基于 卫 的 因特网 中 ， 可 用 的 拥塞 控制 和 QoS 工具 是 很 有 限 的 ， 路 由 器 只 能 采 
用 两 种 机 制 ， 即 路 由 选择 算法 和 分 组 丢弃 策略 ， 但 这 些 手 段 并 不 足以 文 持 保 证 质量 的 服务 。 
IntServ 提议 通过 4 种 手段 来 提供 Qos 传输 机 人 制 : 

(1) 准 入 控制 : IntServ 对 一 个 新 的 QoS 通信 六 要 进行 资源 预约 。 如 果 网 络 中 的 路 由 器 确 
定 没 有 足够 的 资源 来 保证 所 请 求 的 QoS， 则 这 个 通信 流 就 不 会 进入 网 络 。 

(2) 路 由 选择 算法 : 可 以 基于 许多 不 同 的 QoS 参数 〈 而 不 仅仅 是 最 小 时 延 ) 来 进行 路 由 选择 。 

(3) 排队 规则 : 考虑 不 同 通信 流 的 不 同 需 求 而 采用 有 效 的 排队 规则 。 

(4) 丢弃 策略 : 在 缓冲 区 耗 尽 而 新 的 分 组 来 到 时 要 决定 丢弃 哪些 分 组 以 文 持 QoS 传输 。 

为 了 实现 QoS 传输 ， 必 须 对 现 有 的 路 由 器 进行 改造 ， 使 其 在 传统 的 存储 一 转发 功能 之 外 ， 
还 能 够 提供 资源 预约 、 准 入 控制 、 队 列 管理 以 及 分 组 调度 等 高 级 功能 。 

尽管 mtServ 能 提供 QoS 保证 ， 但 经 过 几 年 的 研究 和 发 展 ， 其 中 的 问题 也 逐步 显现 。RSVP 
和 IntServ 在 Internet 应 用 中 还 存在 着 下 面 的 缺陷 : 

(1) IntServ 要 维护 大 量 的 状态 信息 ， 状 态 信息 数量 与 通信 流 的 数量 成 正比 ， 这 需要 在 路 由 
故 中 占用 很 大 的 存储 空间 ， 因 而 这 种 模型 不 具有 扩展 性 。 

2) 对 路 由 器 的 要 求 很 高 ， 所 有 的 路 由 器 必须 实现 资源 预约 、 准 入 控制 、 通 信 流 分 类 和 分 
组 调度 等 功能 。 
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(3) IntServ 服务 不 适合 于 生存 期 短 的 数据 流 ， 因 为 对 生存 期 短 的 数据 流 来 说 ， 资 源 预约 所 
占 的 开销 太 大 ， 降 低 了 网 络 利用 率 。 

(4) 许多 应 用 需要 茶 种 形式 的 QoS， 但 是 无 法 使 用 IntServ 模型 来 表达 QoS 请 求 。 

(5) 必要 的 控制 和 价格 机 制 〈 例 如 访问 控制 、 认 证 和 计 费 等 ) 正 处 于 研发 阶段 ， 目 前 还 无 
法 付 诺 实用。 


2. 区 分 服务 


区 分 服务 模型 (DiffServ) 的 基本 思想 是 根据 预先 确定 的 规则 对 数据 流 进 行 分 类 ， 将 有 具有 
相同 QoS 需求 的 不 同业 务 的 数据 流 聚 集成 一 个 数据 流 集合 进行 统一 处 理 , 以 便 将 多 种 应 用 数据 
流 综 合 为 有 限 的 几 种 数据 流 等 级 ， 不 同 的 数据 流 集合 获得 不 同 的 优先 级 处 理 。DiffServ 模型 是 
为 克服 IntServ 模型 的 扩展 性 问题 ， 从 IntServ 模型 发 展 而 来 的 一 种 相对 简单 的 、 较 粗糙 的 提供 
区 别 服务 等 级 CoS ) 的 模型 。 它 采用 了 IETF 的 基于 RSVP 的 服务 分 类 标准 ， 但 抛弃 了 分 组 流 
沿路 节点 上 的 资源 预 留 。 

DiffServ 将 了 Pv4 协议 中 怕 有 的 服务 类 型 字段 和 IPv6 的 通信 量 类 字段 定义 为 区 分 服务 字段 
DS。 该 字 节 中 的 前 6 个 比特 称 为 区 分 服务 编码 点 ， 用 于 Qos 的 特殊 定义 ， 包 括 “ 等 级 ”和 “丢弃 
优先 级 ”。 另 外 ，DiffServ 将 整个 网 络 分 成 知 干 个 DS 域 ， 一 个 DiffServ 域 由 一 系列 支持 DiffServ 
机 制 的 节点 构成 。 在 DiffServ 域 中 ， 主 要 的 成 员 有 边缘 路 由 器 、 核 心路 由 器 和 资源 控制 器 。 

当 数 据 流 进入 DiffServ 网 络 时 ， 边 缘 路 由 器 通过 标识 该 字段 ， 将 卫 包 分 为 不 同 的 服务 类 
别 ， 而 网 络 中 的 其 他 路 由 器 在 收 到 该 卫 包 时 ,， 则 根据 该 字段 押 标 识 的 服务 类 别 将 其 放 入 不 同 的 
队列 ， 并 由 作用 于 输出 队列 的 流量 管理 机 制 按 事先 设 定 的 市 宽 、 绥 神 处 理 控 制 每 个 队列 ， 即 给 
予 不 同 的 每 一 跳 行 为 (Per Hop Behavior，PHB) 。 

总 之 ，DiffServ 根据 每 个 卫 包头 中 的 DS 字段 ， 可 以 将 其 归 类 到 与 其 具有 相同 QoS 需求 的 一 
个 数据 集合 中 去 ， 这 样 ， 众 多 的 数据 流 被 归 类 成 了 几 个 为 数 不 多 的 具有 相同 QoS 需求 的 数据 集合 
进行 传送 ， 然 后 根据 与 每 个 数据 集合 相对 应 的 处 理 方式 对 这 些 数据 集合 进行 处 理 。 这 种 模型 和 价 化 了 
数据 流 的 处 理 过 程 ， 减 少 了 路 由 器 中 信息 存储 的 负担 ;同时 也 免 去 了 IntSerwWRSVP 模型 中 在 网 络 
内 部 建立 路 由 通道 的 操作 ， 从 而 减少 了 主机 之 间 简 短 对 话 的 负 谷 ， 提 高 了 网 络 的 啊 应 性 能 。 

具体 工作 流程 如 下 : 

(1) 首先 DiffServ 域 的 边缘 路 由 髓 对 来 目 用 户 或 其 他 网 络 的 非 DiffServ 的 业务 流 进行 分 
类 ， 为 每 个 卫 包 填 入 新 的 DSCP 字段 ， 同时， 建立 起 并 开始 应 用 与 每 一 个 业务 相对 应 的 服务 
水 平 协议 CSLA) 和 了 PHB。 而 对 来 自用 户 或 其 他 网 络 的 Diffserv 业务 流 , 则 依据 卫 包 中 的 DSCP 
字段 选择 特定 的 PHB。 

(2) 然后 开始 业务 转发 ， 边 缘 路 由 喜 的 策略 单元 将 根据 SLA 对 收 到 的 业务 流 进 行 测量 ， 监 
视 用 户 是 否 遵守 SLA, 并 将 测量 结果 输入 业务 流 策 略 单元 , 对 业务 流 进 行 整形 、 丢 弃 、 标 记 (DSCP 
的 改写 ) 等 工作 。 这 一 过 程 称 为 业务 量 调整 (Traffic Conditioning ) 或 业务 量 策略 (Traffic Policing ) 。 

(3 ) 边缘 路 由 器 对 DSCP 字段 进行 检查 ,依据 DSCP 为 业务 流 选 择 特 定 的 PHB, 根据 PHB 
所 指定 的 排队 策略 ， 将 属于 不 同业 务 类 别 的 业务 流 导 入 不 同 的 队列 加 以 处 理 ， 并 按 事 先 设 定 的 
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带宽 、 组 冲 处 理 输出 队列 ， 最 后 按 PHB 所 指定 的 技 弃 策略 对 卫 包 实 施 必 要 的 丢弃 。 

(4) 核心 路 由 器 将 只 依据 DSCP 字段 为 业务 流 选 择 特 定 的 PHB， 进 行 后 续 处 理 。 

DiffServ 最 主要 的 优势 是 弱化 了 对 信 令 的 依赖 ， 中 间 节 点 只 需 依 据 一 定 的 分 组 标记 应 用 各 
种 PHB 即 可 ， 无 需 像 mtServ 一 样 在 每 个 路 由 器 上 为 每 个 业务 流 保留 “ 软 状 态 ”， 避 免 了 大 量 
的 资源 预 留 信息 的 传递 ， 具 有 更 好 的 可 扩展 性 。 同 时 DiffServ 不 要 求实 现 端 到 端的 QoS 保证 ， 
只 要 求 在 DS 域内 Qosg 的 一 致 性 , 而 在 DS 域 之 间 进 行 一 定 的 映射 来 保证 不 同类 别 业务 的 QoS。 
DiffServ 将 Qos 的 一 致 性 范围 缩小 到 每 个 区 域 之 中 ， 从 而 降低 了 这 种 模型 实现 的 复杂 性 。 
DiffServ 模型 的 绝 大 部 分 分 类 和 整形 操作 只 在 DS 域 的 边缘 路 由 器 上 执行 , 大 大 简化 了 在 DS 域 
内 核心 路 由 器 对 传输 卫 包 的 操作 。 而 IntServ 模型 需要 在 传输 的 整个 路 由 中 对 每 个 卫 包 都 进行 
相应 的 分 类 和 监管 操作 。 

DiffServ 不 提供 全 网 痕 到 端的 Qos 保证 , 它 所 提供 的 QoS 只 是 一 种 相对 的 QoS， 只 是 不 同 
等 级 业务 流 之 间 的 QoS 好 坏 关 系 ， 在 转发 方式 上 仍然 是 采用 传统 了 网 的 逐 跳 转 发 方式 。 有 关 
业务 等 级 的 具体 划分 、 每 类 业务 性 能 的 量化 描述 、 卫 业务 类 别 与 ATIM QoS 的 映射 等 技术 细节 ， 
IETF 还 未 给 出 具体 的 规定 。 


3. 流量 工程 


流量 工程 (Traffic Engineering，TE) 是 优化 网 络 资源 配置 的 技术 ， 是 利用 网 络 基 础 设施 提 
供 最 佳 服 务 的 工具 和 方法 ， 无 论 网络 设 备 和 传输 线路 处 于 正常 或 是 部 分 失效 状态 ， 利 用 流量 工 
程 技术 都 可 以 提供 最 佳 的 网 络 服务 。 流 量 工 程 是 对 网 络 规划 和 网 络 工程 的 补充 措施 ， 使 得 现 有 
的 网 络 资源 可 以 充分 发 挥 它 的 效益 。 

在 早期 的 核心 网 络 中 ， 流 量 工程 是 通过 路 由 量度 实现 的 ， 即 对 每 条 链 路 指定 一 个 量度 值 ， 
两 点 之 间 的 路 由 是 按照 预订 策略 计算 量度 值 后 确定 的 。 随 着 网 络 规模 的 扩大 ， 网 络 结构 越 来 越 

杂 ， 路 由 量度 越 来 越 难以 实现 了 。 利 用 MPLS 可 以 把 面向 连接 技术 与 卫 路 由 结合 起 来 ， 提 
供 更 多 的 手段 对 网 络 资源 进行 优化 配置 ， 提 供 更 好 的 QoS 保障 和 更 多 的 业务 类 型 ， 这 样 就 形成 
了 基于 MPLS 的 流量 工程 。 

基于 MPLS 的 流量 工程 (MPLS TE) 由 下 面 4 种 机 制 实现 : 

(1 ) 信息 分 发 。 流 量 工程 需要 关于 网 络 拓扑 的 详细 信息 以 及 网 络 负载 的 动态 信息 ， 这 可 以 
通过 扩展 现 有 的 IGP 来 实现 。 在 路 由 协议 发 布 的 网 络 公 告 中 应 该 包含 链 路 的 属性 〈 链 路 带宽 、 
带宽 利用 率 和 带宽 预约 值 等 ) ， 并 且 通 过 泛 洪 算法 把 链 路 状态 信息 发 布 到 ISP 路 由 域 中 的 所 有 
路 由 器 。 每 一 个 标记 交换 路 由 器 LSR 都 要 维护 一 个 专用 的 流量 工程 数据 库 CTED) ， 记 载 网 络 
链 路 属性 和 拓扑 结构 信息 。 

(2) 通路 选择 。LSR 通过 TED 和 用 户 配置 的 管理 信息 可 以 建立 显 式 路 由 。MPLS 传输 域 
入 口 处 的 标记 边缘 路 由 器 (LER) 可 以 列 出 LSP 中 的 所 有 LSR 来 建立 严格 的 显 式 路 由 ， 也 可 以 
只 列 出 部 分 LSR 来 建立 松散 的 显 式 路 由 。 

(3) 信 令 协议 。LSP 的 建立 依赖 于 新 的 信念 控制 协议 ， 其 作用 是 在 通路 建立 过 程 中 传递 和 
发 布 标记 与 LSP 状态 的 绑 定 信息 。 
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(4) 分 组 转发 。 一 旦 通路 建立 ，LSR 就 通过 标记 转发 机 制 来 传送 分 组 。 

通过 以 上 功能 ， 可 以 实现 许多 以 前 难以 实现 的 新 业务 。 显 式 路 由 (Explicit Route，ER) 可 
以 把 网 络 流量 引导 到 特定 的 通路 上 ， 以 实现 网 络 负 载 的 均衡 分 布 。 如 果 网 络 中 有 VoIP， 也 有 数 
据 通 路 ， 则 两 者 会 竞争 资源 ， 所 以 ，VoIP 要 给 予 较 高 的 优先 级 。 优 先 级 分 为 两 种 ， 即 建立 优先 
级 和 保持 优先 级 。 当 一 个 通路 建立 时 , 以 其 建立 优先 级 与 已 建立 的 通路 的 保持 优先 级 进行 比较 ， 
如 果 建 立 优先 级 大 于 保持 优先 级 ， 则 已 建立 的 通路 的 网 络 资源 将 被 后 来 者 抢占 。 在 链 路 失效 情 
况 下 ， 现 有 的 内 部 网 关 协 议 需 要 几 十 秒 时 间 才 能 恢复 。 快 速 重 路 由 功能 在 通路 建立 过 程 中 通过 
信 令 系统 建立 了 备份 路 由 ， 在 链 路 发 生 故 障 时 能 够 及 时 进行 切换 ， 所 以 可 以 对 重要 业务 的 连续 
性 进行 保护 。 这 种 保护 分 为 端 到 端的 通路 保护 和 本 地 保护 ， 后 者 又 进一步 分 为 链 路 保护 和 节点 
保护 。 这 些 都 需要 新 的 信 令 控制 协议 来 提供 文 持 。 

MPLS 原来 定义 的 标记 分 发 协议 C(LDP) 是 MPLS 网 络 的 信念 控制 协议 ， 用 于 LSR 之 间 交 
换 标 记 与 FEC 绑 定 信息 ， 以 便 建 立 和 维护 LSP。LDP 是 将 网 络 层 路 由 信息 直接 映射 到 数据 链 路 
层 的 交换 路 径 ， 从 而 建立 和 维护 LSP 的 一 系列 消息 和 过 程 。 对 等 的 LSR 实体 之 间 通 过 LDP 消 
县 发 现 邻 届 、 建 立会 话 、 分 发 标记 ， 并 报告 链 路 状态 和 检测 异常 事件 的 发 生 。 但 是 ，LDP 只 能 
根据 路 由 表 来 建立 虚 连 接 ， 并 没有 平衡 流量 的 功能 ， 这 是 它 的 局 限 性 。 

为 了 支持 流量 工程 ，MPLS 引入 了 新 的 标记 分 发 协议 。 基 于 约束 的 路 由 标记 分 发 协议 
(Cons traint-based Routing LDP，CR-LDP) 是 LDP 的 扩展 ， 仍 然 采 用 标准 的 LDP 消息 格式 ， 
与 LDP 共享 TCP 连接 。 但 是 , CR-LDP 可 以 在 标记 请 求 信息 中 包含 节点 列表 , 从 而 在 MPLS 
网 络 中 建立 一 条 显 式 路 由 。CR-LDP 也 人 允许 在 标记 请 求 消息 中 设置 流量 参数 (峰值 速率 、 承 
诺 速率 和 突 发 特性 等 ) ， 从 而 为 LSP 提供 QoS 支持 。CR-LDP 还 能 携带 路 由 着 色 等 约束 参 
数 ， 用 来 标识 一 个 链 路 的 性 能 ， 例 如 是 否 支 持 VoIP 等 。 

集成 服务 中 定义 的 资源 预约 协议 (RSVP) 用 于 为 通信 流 请 求 QoS 资源 ， 并 且 建 立 和 维护 
通路 状态 。RSVP-TE 是 RSVP 协议 的 扩展 ,能 够 实现 流量 工程 所 需要 的 各 种 功能 。 在 RSVP-TE 
实现 中 将 RSVP 的 作用 对 象 从 通信 流转 变 为 FEC， 从 而 降低 了 控制 的 粒度 ， 同 时 也 提高 了 网 络 
的 可 扩展 性 。RSVP-TE 能 够 支持 建立 和 维护 LSP 的 附加 功能 ， 如 按 下 游标 记分 发 、 显 式 路 由 、 
带宽 预约 、 资 源 抢占 、LSP 隧道 的 跟踪 、 诊 断 和 重 路 由 等 功能 。 

IETF 提出 了 用 MPLS 支持 DiffServ 的 方法 (RFC 3270) ， 能 够 把 DiffServ 的 一 个 或 多 个 
BA 英 射 到 MPLS 的 一 条 LSP 上 ， 然 后 根据 BA 的 PHB 来 转发 LSP 上 的 流量 。 

如 果 要 将 BA 映射 到 LSP， 就 要 在 MPLS 包头 中 携带 BA 信息 〈 即 DSCP) 。 可 以 把 一 类 具有 
相同 队列 处 理 要 求 和 调度 行为 , 但 丢弃 优先 级 不 同 的 PHB 定义 为 一 个 PHB 调度 类 (PHB Scheduling 
Class，PSC) ， 这 样 加 可 以 在 MPLS 包头 中 表示 分 组 所 属 的 PSC 以 及 分 组 的 丢弃 优先 级 。 

IETF 将 LSP 分 为 以 下 两 类 : 

(1) E-LSP (EXP-Inferred-PSC LSP) 。 用 MPLS 包头 的 EXP 字段 把 多 个 BA 指派 到 一 条 
LSP 上 ， 例 如 AF1 有 3 种 不 同 的 丢弃 优先 级 ， 属 于 3 个 不 同 的 BA， 则 可 以 把 这 3 种 AF1 指 铂 
到 同一 条 LSP 上 。 

由 于 EXP 只 有 3 位 ， 所 以 最 多 只 能 表示 8 种 不 同 的 BA。 当 超过 8 种 BA 时 ， 要 联合 使 用 
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MPLS 包头 的 标记 字段 和 EXP 字段 ， 这 就 是 L-LSP。 

(2) L-LSP 〈Label-Only-Inferred-PSC LSP) 。 把 一 条 LSP 指派 给 一 个 BA， 但 是 划分 成 多 
个 不 同 的 丢弃 优先 级 ， 用 MPLS 包头 中 的 标记 字段 来 区 分 不 同 的 调度 策略 ， 用 EXP 字段 表示 
不 同 的 丢弃 优先 级 。 

由 于 MPLS 设备 要 在 每 一 跳 中 交换 标记 值 ,因此 管理 标记 与 DSCP 的 映射 比较 困难 。E-LSP 
比 L-LSP 更 容易 控制 ， 因 为 可 以 预先 确定 每 个 分 组 的 EXP 与 DSCP 之 间 的 映射 关系 。 


2.6 软件 定义 网 络 


根据 现代 网 络 技术 的 认 知 视角 , 网 络 层 被 看 作 两 个 相互 作用 的 部 分 : 数据 平面 和 控制 平面 。 
数据 平面 的 功能 决定 到 达 路 由 器 的 数据 包 如 何 转发 到 其 输出 链 路 ;控制 平 面 的 功能 决定 数据 报 
治 着 从 源 主机 到 目的 主机 的 端 到 端 路 径 中 路 由 器 之 间 的 路 由 方式 。 当 今 ， 控 制 平 面 出 现 了 一 种 
与 传统 路 由 器 控制 平面 不 同 的 实现 方式 ， 即 软件 定义 网 络 〈Software Defined Network，SDN ) 。 


2.6.1 控制 平面 的 实现 方式 


1. 传统 实现 方法 


在 传统 的 路 由 需 控 制 平 面 中 ， 处 在 地 理 位 置 不 同 的 路 由 器 以 一 种 分 布 式 方式 分 散 地 执行 路 
由 算法 ， 并 相互 通信 和 协调 ， 最 终生 成 各 自 本 地 的 转发 表 。 在 数据 平面 ， 基 于 路 由 算法 生成 的 
本 地 转发 表 ， 当 路 由 器 收 到 一 个 数据 报时 ， 依 据 其 首部 目的 地 址 字段 在 本 地 转发 表 中 进行 查 表 
确定 转发 输出 的 链 路 。 如 图 2-22 所 示 ， 到 达 数 据 报 的 首部 目的 地 址 字段 为 0111， 通 过 得 表 可 
以 及 现 应 该 转发 至 2 号 输出 链 路 。 


Local forwarding 
tabjle | 


| header output | 


图 2-22 ”传统 路 由 器 控制 平面 实现 方法 
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2. SDN 的 实现 方法 


与 传统 的 路 由 器 控制 平面 实现 方式 不 同 ， 在 SDN 的 控制 平面 中 ， 路 由 器 不 再 分 散 地 各 自 
执行 路 由 算法 而 生成 转发 表 ， 而 是 将 本 地 链 路 状态 信息 通过 控制 器 代理 (Controller Agent，CA) 
上 传 至 一 个 集中 式 的 远程 控制 器 。 然 后 ， 远 程控 制 器 计算 并 下 发 转发 表 给 每 个 路 由 器 。 路 由 需 
依赖 收 到 的 转发 表 执行 转发 决策 。 如 图 2-23 所 示 ， 其 中 的 数据 平面 组 件 与 图 2-22 中 完全 相同 。 
而 在 SDN 的 体系 中 ， 控 制 平 面 路 由 选择 功能 与 物理 的 路 由 堪 是 分 离 的 ， 即 路 由 选择 设备 仅 执 
行 转 发 ， 而 远程 控制 器 计算 并 分 发 转发 表 。 远 程控 制 器 可 能 在 高 可 靠 、 高 见 余 的 远程 数据 中 心 
中 实现 ， 并 可 能 由 ISP 或 第 三 方 管理 。 上 述 控制 平面 实现 方法 是 SDN 的 本 质 ,， 因 为 计算 转发 表 
并 与 路 由 器 交互 的 远程 控制 器 是 由 软件 实现 的 ， 而 且 实 现 的 软件 还 提供 应 用 程序 编程 接口 
(Application Programming Interface，API) ， 使 得 用 户 可 以 自己 定义 和 控制 网 络 核心 的 路 由 计算 
和 和 转 友 规则 。 


图 2-23 SDN 控制 平面 实现 方法 
2.6.2 SDN 体系 结构 


如 图 2-24 所 示 ，SDN 体系 结构 由 数据 平面 和 控制 平面 构成 。 数 据 平 面 由 SDN 交换 机 等 网 
络 通用 硬件 组 成 , 各 个 网 络 设备 之 间 通 过 不 同 规则 形成 的 SDN 数据 通路 连接 。 控 制 平 面 由 SDN 
控制 器 和 网 络 控制 应 用 程序 具体 实现 。 轩 辑 上 为 中 心 的 SDN 控制 髓 掌握 看 全 局 网 络 信息 ， 负 
责 各 种 转发 规则 的 控制 ， 网 络 控制 应 用 程序 包含 者 各 种 基于 SDN 的 网 络 应 用 ， 用 户 无 须 天 心 
底层 细节 就 可 以 编程 、 部 普 新 应 用 。 
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控制 平面 与 数据 平面 之 间 通 过 SDN 控制 数据 平面 接 
口 〈Control-Data-Plane Interface，CDPI) 进行 通信 ， 它 有 具 
有 统一 的 通信 标准 , 主要 负责 将 控制 器 中 的 转发 规则 下 发 
至 转发 设备 ， 主 要 应 用 的 是 OpenFlow 协议 。 控 制 平 面 与 
应 用 平面 之 间 通 过 SDN 北向 接口 (Northbound Interface， 
NBI) 进行 通信 ,而 NBI 并 非 统 一 标准 ， 它 允许 用 户 根据 北向 API 平面 

SDN 中 的 接口 具有 开放 性 ， 以 控制 器 为 逻辑 中 心 ， 本 人 
南 癌 接口 负责 与 数据 平面 进行 通信 , 北 辐 接口 负责 与 应 用 


网 络 控制 应 用 程序 


平面 进行 通信 ,东西 向 接口 负责 多 控制 器 之 间 的 通信 。 最 二 有 
主流 的 南 向 接口 CDPI 采用 的 是 OpenFlow 协议 。 ”ee 几 
OpenFlow 最 基本 的 特点 是 基于 流 〈Flow) 的 概念 来 匹配 平面 
转发 规则 ， 每 一 个 交换 机 都 维护 一 个 流 表 (Flow Table) ， | 


SDN 交 换 机 
图 2-24 _ SDN 体系 结构 


依据 流 表 中 的 转发 规则 进行 转发 ， 而 流 表 的 建立 、 维 护 和 
下 发 都 是 由 控制 器 完成 的 。 针 对 北 加 接口 , 应 用 程序 通过 
北向 接口 编程 来 调用 所 需 的 各 种 网 络 资源 ， 实 现 对 网 络 的 快速 配置 和 部 车 。 东 西 问 接口 使 控制 
器 具有 可 扩展 性 ， 为 负载 均衡 和 性 能 提升 提供 了 技术 保障 。 


2.6.3 ”控制 平面 和 数据 平面 交 孔 


如 图 2-25 所 示 ，SDN 控制 的 交换 机 与 SDN 控制 器 之 间 的 交互 可 以 通过 下 面 的 例子 来 描 
述 。 假 设 交 换 机 s1 和 s2 之 间 的 链 路 断 开 , 假定 控制 平面 和 数据 平面 基于 OpenFlow 协议 通信 ， 
则 此 时 各 个 交换 机 之 间 的 流转 发 规则 都 有 可 能 发 生变 化 。 有 具体 过 程 执行 如 下 : 中 交换 机 s1 和 
s2 之 间 的 链 路 断 开 , 将 使 用 OpenFlow 的 端口 状态 报 文 同 SDN 控制 器 通报 链 路 状态 变化 情况 
@OSDN 控制 器 接收 指示 链 路 状态 更 新 的 OpenFlow 报 文 ， 并 且 通 告 链 路 状态 管理 器 ， 由 管理 器 
更 新 链 路 状态 库 。@) 实 现 Dijkstra 路 由 算法 的 网 络 控制 应 用 程序 进一步 收 到 了 链 路 状态 更 新 通 
告 。 由 链 路 状态 路 由 程序 与 链 路 状态 管理 器 相互 交互 ， 得 到 更 新 的 链 路 状态 ， 接 着 计算 新 的 最 
小 费用 路 径 。 名 链 路 状态 路 由 程序 与 流 表 管 理 器 交互 ， 流 表 管 理 器 决定 更 新 的 流 表 。(6) 流 表 管 
理 器 使 用 OpenFlow 协议 更 新 受 影响 交换 机 s1、s2 和 s4 中 的 流 表 。 


2.6.4 广义 转发 


随 着 SDN 的 发 展 ， 以 OpenFlow 为 代表 的 协议 文 持 以 一 种 “匹配 + 动作 ”的 范式 统一 包括 
路 由 器 在 内 的 各 种 交换 设备 ， 实 现 包 括 转 发 在 内 的 各 种 行为 。 如 图 2-26 所 示 ， 实 现 “ 匹 配 + 动 
作 ” 的 流 表 主要 包括 : 用 于 匹配 的 首部 、 动 作 、 状 态 三 部 分 。 用 于 匹配 的 首部 包括 进入 SDN 
交换 机 的 入 端口 ， 链 路 层 的 源 MAC、 目 的 MAC、 以 太 网 类 型 、VLAN ID 以 及 VLAN 优先 级 
等 ， 网 络 层 的 源 耳 、 目 的 卫 、 卫 负载 协议 、 卫 服务 类 型 等 ， 传 输 层 TCP/UDP 源 端口 号 、 目 的 
站 口号 等 。 动 作 可 以 包括 转发 分 组 到 端口 、 丢 弃 分 组 、 修 改 分 组 首部 、 封 装 并 转交 控制 器 等 。 
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状态 部 分 主要 是 分 组 、 字 节 计 数 器 等 。 


Dijkstra 链 路 状态 
路 由 算法 - 


ne 中 


图 2-2$ _SDN 控制 吉 与 数据 平面 交互 示例 


分 组 + 字 节 计数 髓 


1. 转 发 分 组 到 端口 
2. 技 弃 分 组 


3. 修 改 首 部 
4. 封 装 并 转交 控制 器 


。 用 于 匹配 的 首部 ， 


Wasoaomnecoeeeoi pcsnarucuieasaan 
链 路 层 网 络 层 传输 层 


图 2-26 _SDN 控制 器 与 数据 平面 交互 示例 


2.7 ”传输 层 协 议 


在 TCP/PP 协议 徐 中 有 两 个 传输 协议 ， 即 传输 控制 协议 〈Transmission Control Protocol，TCP ) 
和 用 户 数据 报 协议 〈User Datagram Protocol，UDP) 。TCP 是 面向 连接 的 ， 而 UDP 是 无 连接 的 。 
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2.7.1 TCP 协议 


TCP 协议 提供 面向 连接 的 、 可 靠 的 传输 服务 ， 适 用 于 各 种 可 靠 的 或 不 可 靠 的 网 络 。TCP 用 户 
送 来 的 是 字 节 流 形式 的 数据 ， 这 些 数 据 缓 存在 TCP 实体 的 发 送 缓冲 区 中 。 一 般 情 况 下 ，TCP 实体 
自主 地 决定 如 何 把 字 节 流 分 段 ， 组 成 TPDU 发 送出 去 。 在 接收 端 ， 也 是 由 TCP 实体 决定 何 时 把 积 
累 在 接收 缓冲 区 中 的 字 节 流 提交 给 用 户 。 分 段 的 大 小 和 提交 的 频 度 是 由 具体 的 实现 根据 性 能 和 开销 
权衡 决定 的 ，TCP 规范 中 没有 定义 。 显 然 ， 即 使 两 个 TCP 实体 的 实现 不 同 ， 也 可 以 互 操作 。 

另外 ，TCP 也 人 允许 用 户 把 字 节 流 分 成 报 文 ， 用 推进 (PUSH) 命令 指出 报 文 的 界限 。 发 送 
端 TCP 实体 把 PUSH 标志 之 前 的 所 有 未 发 数据 组 成 TPDU 立即 发 送出 去 ， 接 收 端 TCP 实体 同 
样 根据 PUSH 标志 决定 提交 的 界限 。 


1.TCP 协议 数据 单元 


TCP 只 有 一 种 类 型 的 PDU， 叫 作 TCP 段 ， 段 头 〈 也 叫 TCP 头 或 传输 头 ) 的 格式 如 图 2-27 
所 示 ， 其 中 的 字段 如 下 : 

(1) 源 端口 〈16 位 ) :说明 源 服务 访问 点 。 

(2) 目标 端口 〈16 位 ) : 表示 目标 服务 访问 点 。 

(3) 发 送 顺序 号 〈32 位 ) : 本 段 中 第 一 个 数据 字 节 的 顺序 号 。 

(4) 应 答 顺 序号 〈32 位 ) : 朱 带 应 答 的 顺序 号 ， 指 明 接 收 方 期 望 接收 的 下 一 个 数据 字 节 的 
顺序 号 。 

(5) 偏 置 值 (4 位 ) : 传输 头 中 32 位 字 的 个 数 。 因 为 传输 头 有 任 选 部 分 ， 长 度 不 固定 ， 所 
以 需要 偶 置 值 。 

(6) 保留 字段 (6 位 ) : 未 用 ， 所 有 实现 必须 把 这 个 字段 置 全 0。 

(7) 标志 字段 (6 位 ) : 表示 各 种 控制 信息 。 其 中 : 

e。 ， URG: 紧急 指针 有 效 。 

e。 。 ACK: 应 答 顺 序号 有 效 。 

e。 ， PSH: 推进 功能 有 效 。 

e。 ”RST: 连接 复位 为 初始 状态 ， 通 稼 用 于 连接 故障 后 的 恢复 。 

e。 SYN: 对 顺序 号 同步 ， 用 于 连接 的 建立 。 

e。 FIN: 数据 发 送 完 ， 连 接 可 以 释放 。 

(8) 窗口 〈16 位 ) : 为 流 控 分 配 的 信息 量 。 

(9) 校 验 和 (16 位 ) : 段 中 所 有 16 位 字 按 模 2 “1 相 加 的 和 ， 然 后 取 1 的 补 码 。 

(10) 紧急 指针 〈16 位 ) : 从 发 送 顺序 号 开始 的 人 往 置 值 ， 指 同 字 节 流 中 的 一 个 位 置 ， 此 位 
置 之 前 的 数据 是 紧急 数据 。 

(11) 任 选 项 《长度 可 变 ) : 目前 只 有 一 个 任 选 项 ， 即 建立 连接 时 指定 的 最 大 段 长 。 

(12) 补丁 :， 补 齐 32 位 字 边 界 。 
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Ts mm 


任 选 项 + 补丁 


用 户 数据 


图 2-27TCP 传输 头 格式 


端口 编号 用 于 标识 TCP 用 户 ， 即 上 层 协议 ， 一 些 经 滑 使 用 的 上 层 协 议 ， 例 如 Telnet《〈 远 程 
端 协议 ) 、FTP 〈 文 件 传 输 协 议 ) 或 SMTP 〈 简 单 邮件 传输 协议 ) 等 都 有 固定 的 端口 号 ， 这 
5 公用 端口 号 可 以 在 RFC (Request For Comments) 中 查 到 ， 任 何 实现 都 应 该 按 规定 保留 这 些 
用 端口 编号 ， 除 此 之 外 的 其 他 疹 口 编号 由 具体 实现 分 配 。 

TCP 是 对 字 节 流 进 行 传送 , 因而 发 送 顺 序号 和 应 答 顺 序号 都 是 指 字 节 流 中 的 某 个 字 节 的 顺 
序号 ， 而 不 是 指 整 个 段 的 顺序 号 。 例 如 ， 茶 个 段 的 发 送 顺 序号 为 1000， 其 中 包含 500 个 数据 字 
节 ， 则 段 中 第 一 个 字 节 的 顺序 号 为 1000， 按 照 逻 辑 顺 序 ， 下 一 个 段 必 然 从 第 1500 个 数据 字 

处 开始 ， 其 发 送 顺 序号 应 为 1300。 为 了 提高 带宽 的 利用 率 ，TCP 采用 积累 应 答 的 机 制 。 例 如 从 
A 到 了 B 传送 了 4 个 段 ， 每 段 包 含 20 个 字 节 数据 ， 这 4 个 段 的 发 送 顺 序号 分 别 为 30、50、70 和 
90。 在 第 4 次 传送 结束 后 , B 向 A 发 回 一 个 ACK 标志 置 位 的 段 ， 其 中 的 应 答 顺 序号 为 110《〈 即 
90+20) ， 一 次 应 答 了 4 次 发 送 的 所 有 字 节 ， 表 示 从 起 始 字 节 到 109 字 节 都 已 正确 接收 。 

同步 标志 SYN 用 于 连接 建立 阶段 。TCP 用 三 次 握手 过 程 建立 连接 ， 如 图 2-28 所 示 。 首 先 
是 发 起 方 发 送 一 个 SYN 标志 置 位 的 段 ， 其 中 的 发 送 顺序 号 为 某 个 值 X， 称 为 初始 顺序 号 ISN 
(Initial Sequence Number) ， 接 收 方 以 SYN 和 ACK 标志 置 位 的 段 响 应 ， 其 中 的 应 答 顺 序号 应 
为 X+1《〈 表 示 期 望 从 第 X+1 个 字 节 处 开始 接收 数据 ) ， 发 送 顺序 号 为 茶 个 值 Y《〈 接 收 问 指定 的 
ISN) 。 这 个 段 到 达 发 起 端 后 ， 发 起 端 以 ACK 标志 置 位 ， 应 答 顺 序号 为 Y+1 的 段 回 答 ， 连 接 
就 正式 建立 了 。 可 见 ， 所 谓 初 始 顺序 号 就 是 收发 双方 对 连接 的 标识 ， 也 与 字 节 流 的 位 置 有 天 。 
因而 对 发 送 顺序 号 更 准确 的 解释 应 该 是 : 当 SYN 未 置 位 时 ， 表 示 本 段 中 第 一 个 数据 字 节 的 顺 
序号 ; 当 SYN 置 位 时 ， 它 是 初始 顺序 号 ISSN， 而 段 中 第 一 个 数据 字 节 的 顺序 号 应 为 ISN+1， 正 
好 与 接收 方 期 望 接收 的 数据 字 节 的 位 置 对 应 。 


六 贷 


A B 说 明 
SYN=1 A 发 起 链接 请 求 
发 号 Y ee SYN=1， ACK=1 B 接收 并 应 答 连 接 请 求 
DATA ACK 人 
A 应 答 并 发 送 
发 号 X+1 收 sw 应 答 并 发 送 数据 


图 2-28 TCP 连接 的 建立 
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所 谓 紧急 数据 ， 是 指 TCP 用 户 认为 很 重要 的 数据 ， 例 如 键盘 中 断 等 控制 信号 。 当 TCP 段 
中 的 _URG 标志 置 位 时 ， 紧 急 指针 表示 距离 发 送 顺 序号 的 偏 置 值 ， 在 这 个 字 节 之 前 的 数据 都 是 
紧急 数据 。 紧 急 数据 由 上 层 用 户 使 用 ，TCP 只 是 尽快 地 把 它 提交 给 上 层 协议 。 

窗口 字段 表示 从 应 答 顺序 号 开始 的 数据 字 节 数 ， 即 接收 端 期 望 接收 的 字 节 数 ， 发 送 端 根据 
这 个 数字 扩大 自己 的 窗口 。 窗 口 字段 、 发 送 顺 序号 和 应 答 顺序 号 共同 实现 滑动 窗口 协议 。 

校 验 和 的 校 验 范 围 包 括 整 个 TCP 段 和 伪 段 头 
(Pseudo Header) 。 伪 段 头 是 卫 头 的 一 部 分 ， 如 图 2-29 
所 示 。 伪 段 头 和 TCP 段 一 起 处 理 有 一 个 好 处 ， 如 果 耿 把 | 0 | 议 | 县 长 | 


ea 
TCP 段 提交 给 错误 的 主机 ,TCP 实体 可 根据 伪 段 头 中 的 源 人 


地 址 和 目标 地 址 字段 检查 出 错误 。 图 2-29 _TCP 伪 段 头 


由 于 TCP 是 和 了 P 配合 工作 的 ,所 以 有 些 用 户 参 
数 由 TCP 直接 传送 给 卫 层 处 理 ， 这 些 参数 包含 在 下 关中， 例如 优先 级 、 延 迟 时 间 、 吞 吐 率 、 
可 靠 性 和 安全 级 别 等 。TCP 头 和 卫 头 合 在 一 起 ， 代 表 了 传送 一 个 数据 单元 的 开销 ， 共 40 个 
字 节 。 

2. TCP 连接 建立 与 释放 


1) TCP 连接 状态 图 
图 2-30 所 示 为 TCP 的 连接 状态 图 。 事 实 上， 在 TCP 协议 的 运行 过 程 中 ， 有 多 个 连接 处 于 


不 同 的 状态 。 
Active Open 初始 化 SV Passive Open 初始 化 SV 
CLOSED 
SYN SENT SYN RECEIVED LISTEN 
发 送 ACK 发 送 SYN ACFK 
收 到 ACK 


收 到 SYN ACK ESTABLISHED 
发 送 ACK 
FIN WAIT 


收 到 FIN CLOSE WAIT 


“大 ACK 


收 到 收 到 FIN Close 
发 送 ACK 发 送 FIN 
收 到 ACK 


Timeout 
2MST 


TIUME WAII 


图 2-30_TCP 连接 状态 图 


CLOSED 
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TCP 提供 的 可 靠 服 务 ， 在 连接 的 建立 和 释放 上 也 体现 了 出 来 。 
2) TCP 连接 建立 机 制 
TCP 使 用 三 次 握手 来 建立 连接 ,增强 了 连接 建立 的 可 靠 性 。 比 如 防止 已 失效 的 连接 请 求 报 
文 段 到 达 被 请 求 方 ， 产 生 错 误 连 接 。TCP 三 次 握手 连接 建立 过 程 如 图 2-31 所 示 。 
SYN 三 1， 序 号 =X 


SYN 王 1，ACK 王 1， 序 号 =Y， 确 认 序号 =X+1 
确认 
ACK 王 1， 序 号 =X+1， 确 认 序 号 =Y+1 
确认 


图 2-31 _TCP 三 次 握手 连接 建立 过 程 


3) ITCP 连接 释放 机 制 

TCP 的 连接 酸 放 机 制 包含 半 关 闭 和 全 关闭 两 个 阶段 。 半 关闭 阶段 是 当 A 没有 数据 再 回 也 
发 送 时 ，A 同 B 发 出 释放 连接 请 求 ，B 收 到 后 回 A 发 回 确认 。 这 时 A 回 B 的 TCP 连接 就 关闭 
了 。 但 B 仍 可 以 继续 癌 A 上 发送 数 据 。 当 B 也 没有 数据 再 向 A 发 送 时 ， 这 时 了 就 向 A 发 出 释放 
连接 的 请 求 ， 同 样 ，A 收 到 后 向 B 发 回 确认 。 至 此 为 止 了 B 向 A 的 TCP 连接 也 关闭 了 。 当 了 B 确 
实 收 到 来 目 A 的 确认 后 ， 就 进入 了 全 关闭 状态 。TCP 连接 释放 的 过 程 如 图 2-32 所 示 。 


A 主 机 B 主 机 
FIN 王 1， 序 号 =X 
释放 连接 请 求 
ACK 王 1， 序 号 =Y， 确 认 序 号 =X+1 
确认 
FIN=1，ACK 王 1， 序 号 =Y， 确 认 序 号 =X+1l 积 放 连接 请 求 


确认 ACK 王 1， 序 号 =X+1， 确 认 序号 =Y+1 


图 2-32 ”TCP 连接 释放 的 过 程 


3.TCP 拥塞 控制 机 制 


TCP 的 拥塞 控制 涉及 重 传 计时 器 管理 和 窗口 管理 ， 其 目的 是 与 流 控 机 制 配合 ， 绥 解 互 联网 
中 的 通信 紧张 状况 。 

1) 重 传 计 时 需 管 理 

TCP 实体 理 者 多 种 定时 髓 《〈 重 传 计时 器 、 放 弃 定 时 器 等 ) ， 用 于 确定 网 络 传输 时 延 和 监 
视 网 络 拥塞 情况 。 定 时 器 的 时 间 界 限 涉及 网 络 的 端 到 端 往返 时 延 ， 静 态 计时 方式 不 能 适应 网 络 
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通信 瞬息 万 变 的 情况 ， 所 以 大 多 数 实 现 都 是 通过 观察 最 近 一 段 时 间 的 报 文 时 延 来 估算 当前 的 往 
返 时 间 。 一 种 方法 是 取 最 近 一 段 时 间 报 文 时 延 的 算术 平均 值 来 预测 未 来 的 往返 时 间 ， 其 计算 方 
法 如 下 : 


ARTT(K +T= -ARTTO) 中 RTTCK+D 
十 


天 十 ] 
其 中 的 RTTCUO 表 示 对 第 玉 个 报 文 所 观察 到 的 往返 时 间 ，ARTT(G 是 对 前 天 个 报 文 所 计算 的 平 
均 往 返 时 间 。 利 用 这 个 公式 ， 不 必 每 次 重新 求 和 就 可 以 得 到 最 新 的 平均 往返 时 间 。 

简单 的 算术 平均 方法 不 能 迅速 反映 网 络 通信 情况 变化 的 趋势 ,改进 的 方法 是 对 越 是 最 近 的 
观察 值 赋予 越 大 的 权 值 ， 使 其 对 平均 值 的 贡献 越 大 ， 这 种 方法 称 为 指数 平均 法 ， 可 以 用 下 面 的 
公式 表示 : 

SRTT(K+HD=wxSRTTCKRJ+(L-oJxRTTCKE+D 

其 中 SRTTCG) 被 称 为 平滑 往返 时 间 估 值 ，SRTT(0)=0，0< C <1。 

把 上 式 展开 ， 得 到 : 
SRTT(K+D=(-oJRITCK+D+awl-oRITGUOD+w -aoRTTEK-D++wcd-oJRTTO) 

可 以 看 出 ， 越 是 早 前 的 观察 值 ， 对 平均 值 的 贡献 越 小 〈w 的 指数 越 大 ) 。 若 o=0.5， 几 乎 所 
有 权重 都 给 了 最 近 的 4 或 $ 个 观察 值 ， 当 o0.875 时 ， 计 算 就 扩大 到 最 近 的 10 个 或 更 多 个 观察 
值 。 所 得 的 结论 是 : 使 用 的 c 值 越 小 ， 则 计算 出 的 平均 值 对 最 近 的 网 络 通信 量变 化 越 敏 感 ， 这 
样 做 的 缺点 是 短期 的 通信 量变 化 可 能 影响 到 平滑 往返 时 间 估 值 的 过 度 震 荡 。 在 具体 实现 时 要 根 
据 网 络 通信 的 特点 采用 一 个 合适 的 wx 值 。 

重 传 计 时 器 的 值 RTO 应 该 设置 得 比 SRTT 稍 大 ， 一 种 方法 是 增加 一 个 常数 值 A: 

RTO(K+D =SRTTCKA+D+A 


A 的 值 取 多 大 ， 需 要 仔细 其 酌 。 如 果 A 的 值 取 大 了 ， 对 重 传 过 程 会 造成 不 必要 的 延迟 ， 如 
果 A 的 值 取 小 了 ， 则 观察 到 的 往返 时 间 RIT 的 微小 波动 就 会 造成 不 必要 的 重 传 。 
相对 于 增加 一 个 固定 利 数 的 方法 ， 使 用 一 个 与 SRIT 成 比例 的 计时 器 效果 更 好 一 些 : 
RTO(K+D =MIN(UBOUND,MAX(LBOUND,BxSRTT(K+D))) 


其 中 ，UBOUND 和 LBOUND 是 两 个 选 定 的 计时 上 限 和 下 限 值 ，/[ 旭 和 常数 。 上 式 的 意思 是 
选取 的 重 传 计 时 值 与 平滑 往返 时 间 估 值 SRIT 成 比例 ， 但 其 值 应 该 处 于 选 定 的 上 、 下 限 之 间 。 
RFC 793 给 出 的 例子 是 : c 值 在 0.8 一 0.9，C 值 在 1.3 一 2.0。 

2) 慢 启 动 和 拥塞 控制 

TCP 实体 使 用 的 发 送 窗 口 越 大 ， 在 得 到 确认 之 前 发 送 的 报 文 数 就 越 多 ， 这 样 就 可 能 造成 网 
络 的 拥塞 ， 特 别 是 在 TCP 刚 建 立 连 接 发 送 时 对 网 络 通信 的 影响 更 大 。 可 以 采用 的 一 种 策略 是 ， 
让 发 送 方 实体 在 接收 到 确认 之 前 逐步 扩展 窗口 的 大 小 ， 而 不 是 从 一 开始 就 采用 很 大 的 窗口 ， 这 
种 方法 称 为 慢 启动 过 程 。 下 面 的 慢 启动 过 程 是 以 报 文 数 来 描述 的 ， 报 文 数 等 于 TCP 段 头 中 窗口 
字段 的 值 除 以 报 文 段 的 字 节 数 。 
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慢 启动 过 程 规定 ，TCP 实体 发 送 窗 口 的 大 小 按照 下 式 计 算 : 
awnd = MIN|credit,cwnd 


。 awnd: 允许 窗口 的 大 小 , TCP 实 体 在 没有 收 到 进一步 确认 的 情况 下 可 以 发 送 的 报 文 数 。 

e。  cwnd: 拥塞 窗口 的 大 小 , 在 启动 阶段 或 拥塞 期 间 TCP 实体 使 用 的 窗口 大 小 〈 报 文 数 ) 。 

e。 credit: 最 近 一 次 确认 报 文 中 得 到 的 信息 量 ， 以 报 文 数 计量 。 

在 建立 一 个 新 连接 后 , TCP 实体 初始 化 (cwnd=l), 即 在 发 送 了 第 一 个 报 文 段 后 就 停止 发 送 ， 
等 待 确认 后 再 发 送 下 一 个 报 文 段 ， 并 且 每 收 到 一 个 确认 ， 就 把 cwnd 加 1， 用 于 扩大 发 送 窗口 。 
最 终 的 发 送 窗口 大 小 是 由 收 到 的 credit 决定 的 。 

实际 上 ，cwnd 是 以 指数 规律 增长 的 。 当 第 0 个 报 文 段 的 确认 到 达 后 ，cwnd 被 增加 到 2， 
可 以 发 送 第 1 和 第 2 段 ; 当 第 1 和 第 2 个 报 文 段 的 确认 到 达 后 ，cwnd 经 过 两 次 增加 ， 其 值 已 经 
是 4 了 ; 当 这 4 个 报 文 段 都 到 达 后 ，cwnd 经 过 4 次 增加 ， 其 值 就 是 8 了 。 

当 网 络 开始 出 现 拥 塞 时 ， 恢 复 较 难 ， 所 以 还 要 包含 下 列 规则 ; 

(1) 设置 慢 有 局 动 的 门限 值 为 目前 拥塞 窗口 的 一 半 ， 即 ssthresh = cwnd/2 。 

(2) 置 cwnd=1， 并 且 执 行 慢 局 动 过 程 ， 直 到 cwnd = ssthresh 。 

(3) 当 cwnd 宇 ssthresh 时 ， 每 经 过 一 个 往返 时 间 cwnd 加 1。 

TCP 拥塞 控制 机 制 如 图 2-33 所 示 。 


cwnd 


图 2-33 ”TCP 拥塞 控制 


2.7.2 UDP 协议 


1) UDP 的 特点 

UDP 只 在 下 的 数据 报 服务 之 上 增加 了 一 点 很 少 的 功能 ， 即 端口 的 功能 和 差错 检测 的 功 
能 。 虽 然 UDP 用 户 数据 报 只 能 提供 不 可 靠 的 交付 ， 但 UDP 在 某 些 方面 有 其 特殊 的 优点 : 

e。 ”发送 数 据 之 前 不 需要 建立 连接 。 

e。 UDP 的 主机 不 需要 维持 复杂 的 连接 状态 表 。 

e。 UDP 用 户 数据 报 只 有 8 个 字 节 的 首部 开销 。 
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e。 网 络 出 现 的 拥塞 不 会 使 源 主机 的 发 送 速率 降低 。 这 对 某 些 实时 应 用 是 很 重要 的 。 
传输 层 使 用 TCP 还 是 UDP 需要 根据 应 用 来 确定 ， 表 2-3 表明 了 和 常用 的 应 用 所 采用 的 协议 
以 及 该 协议 对 应 的 传输 层 协议 。 


表 2-3 TCP 协议 和 UDP 协议 的 应 用 


有 ER 
条 科 区 0 
文件 全 Up 
路 由 过 择 访 0 
下 地 址 而 UD 
运程 文件 服 务 UD 
中 电话 Up 
注 式 多 驱 人 过 Up 
所 Up 
所 子 呈 人 Tc 
万维网 Tc 
文件 全 Tc 


2) UDP 用 户 数据 报 的 首部 格式 
UDP 数据 报 的 首部 格式 如 图 2-34 所 示 ， 其 首部 包含 源 端 口号 、 目 的 端口 号 、 长 度 和 校 验 
和 字段 。 伪 首部 各 字段 仅 用 于 校 验 和 计算 ， 不 包含 在 首部 中 ， 伪 首部 格式 如 图 2-35 所 示 。 


字 节 2 2 2 2 


图 2-34_ UDP 首部 


4 十 ] 1 二 


图 2-35 ”用 于 校 验 和 计算 的 伪 首 部 


2.8 应 用 层 协 议 


远程 登录 〈Telnet) 是 ARPANET 最 早 的 应 用 之 一 ， 这 个 协议 提供 了 访问 远程 主机 的 功能 ， 
使 本 地 用 户 可 以 通过 TCP 连接 登录 到 远程 主机 上 ， 像 使 用 本 地 主机 一 样 使 用 远程 主机 的 资源 。 
当 本 地 终 站 与 远程 主机 具有 异 构 性 时 ， 也 不 影响 它们 之 间 的 相互 操作 。 终 站 与 主机 之 间 的 异 构 
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性 表现 在 对 键盘 字 符 的 解释 不 同 ， 例 如 PC 键盘 与 IBM 大 型 机 的 键盘 可 能 相差 很 大 ， 使 用 不 同 
的 回 车 换行 符 ， 不 同 的 中 断 键 等 。 为 了 使 异 构 性 的 机 器 之 间 能 够 互 操作 ，Telnet 定义 了 网 络 虚 
拟 终端 (Network Virtual Terminal，NVT) 。NVT 代码 包括 标准 的 7 位 ASCII 字符 集 和 Telnet 
命令 集 。 这 些 字 符 和 命令 提供 了 本 地 终 疹 和 远程 主机 之 间 的 网 络 接口 。 

文件 传输 协议 〈File Transfer Protocol，FTP) 也 是 Internet 最 早 的 应 用 层 协 议 。 这 个 协议 用 
于 主机 间 传 送 文件 ， 主 机 类 型 可 以 相同 也 可 以 不 同 ， 还 可 以 传送 不 同类 型 的 文件 ， 例 如 二 进 制 
文件 或 文本 文件 等 。 

电子 邮件 〈E-mail) 是 Internet 上 使 用 最 多 的 网 络 服务 之 一 ， 广 泛 使 用 的 电子 邮件 协议 是 
简单 邮件 传输 协议 〈Simple Mail Transfer Protocol，SMTP ) 。 这 个 协议 也 使 用 客户 端 /服务 器 操 
作 方 式 ， 也 就 是 说 ， 发 送 邮件 的 机 器 起 SMTP 客户 的 作用 ， 连 接 到 目标 端的 SMTP 服务 器 上 。 
而 且 只 有 在 客户 端 成 功 地 把 邮件 传送 给 服务 器 之 后 ， 才 从 本 地 删除 报 文 。 这 样 ， 通 过 端 到 端的 
连接 保证 了 邮件 的 可 靠 传 输 。 

WWW (World Wide Web ) 服务 是 由 分 布 在 mnternet 中 的 成 干 上 万 个 超 文 本 文档 链接 成 的 网 
络 信息 系统 。 这 种 系统 采用 统一 的 资源 定位 器 和 精彩 鲜艳 的 声音 图 文 用 户 界 面 ， 用 户 可 以 方便 
地 浏览 网 上 的 信息 和 利用 各 种 网 络 服务 。WWAW 现 已 成 为 网 民 不 可 缺少 的 信息 查询 工具 。HTTP 
是 为 分 布 式 超 文本 信息 系统 设计 的 一 个 协议 。 这 个 协议 不 仅 徐 单 有 效 ， 而 且 功 能 强大 ， 可 以 传 
送 多 媒体 信息 ， 适 用 于 面向 对 象 的 作用 ， 是 Web 技术 中 的 核心 协议 。 另 外 一 种 应 用 模式 叫 作 点 
对 点 应 用 〈Peer-to-Peer，P2P) ， 在 这 种 模式 中 ， 没 有 客户 机 和 服务 器 的 区 别 ， 每 一 个 主机 既 
是 客户 机 又 是 服务 器 ， 它 们 的 角色 是 对 等 的 ， 所 以 ，P2P 是 一 种 对 等 通信 的 网 络 模型 。 

网 络 用 户 和 希望 用 名 字 来 标识 主机 ， 有 意义 的 名 字 可 以 表示 主机 的 账号 、 工 作 性 质 、 所 属 的 
地 域 或 组 织 等 ， 从 而 便于 记忆 和 使 用 。Internet 的 域名 系统 (Domain Name System，DNS) 就 
是 为 这 种 需要 而 开发 的 .DNS 的 逻辑 结构 是 一 个 分 层 的 域名 树 , Internet 网 络 信 息 中 心 (Internet 
Network Information Center，InterNIC) 管理 着 域名 树 的 根 ， 称 为 根 域 。 根 域 没 有 名 称 ， 用 人 句 
号 “.” 表 示 ， 这 是 域名 空间 的 最 高 级 别 。 在 DNS 的 名 称 中 ， 有 时 在 末尾 附加 一 个 “.”， 就 
是 表示 根 域 ， 但 经 常 是 省 略 的 。DNS 服务 器 可 以 自动 补 上 结尾 的 句号 ， 也 可 以 处 理 结 尾市 句 
写 的 域名 。 

P2P 泛 指 各 种 没有 中 心服 务 器 的 网 络 体系 结构 。 我 们 特别 把 完全 没有 服务 中 心 ， 也 没有 路 
由 中 心 的 网 络 称 为 “ 纯 ”P2P 网 络 。 事 实 上 ， 还 有 大 量 的 网 络 属于 混合 型 P2?P 系统 。 在 这 种 系 
统 中 ， 有 一 个 管理 用 户 信息 的 索引 服务 器 ， 任 何 用 户 的 信息 请 求 都 是 首先 发 送 给 索引 服务 器 ， 
再 在 索引 服务 器 的 引导 下 与 其 他 对 等 方 建立 网 络 连接 。 各 个 客户 端 都 保存 着 一 部 分 信息 资源 ， 
并 把 本 地 存储 的 信息 告诉 索引 服务 器 ， 准 备 同 其 他 客户 冰 提 供 下 载 服 务 。 
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3.1 网 络 规划 与 设计 基础 


3.1.1 网 络 生 命 周 期 


一 个 网 络 系统 从 构思 开始 到 最 后 被 淘汰 的 过 程 被 称 为 网 络 系统 的 生命 周期 。 一 般 来 说 ， 网 
络 系统 的 生命 周期 至 少 包 括 网 络 系统 的 构思 计划 、 分 析 和 设计 、 运 行 和 维护 等 过 程 。 对 于 大 多 
数 网 络 系统 来 说 ， 由 于 应 用 的 不 断 发 展 ， 这 些 网 络 系统 需要 不 断 重 复 设 计 、 实 施 、 维 护 的 过 程 。 
因此 ， 网 络 生命 周期 是 一 个 循环 迭代 的 过 程 。 每 次 循环 迭代 的 动力 都 来 自 于 网 络 应 用 需求 的 变 
更 ， 每 次 循环 过 程 都 存在 需求 分 析 、 规 划 设 计 、 实 施 调试 和 运营 维护 等 阶段 。 

网 络 生命 周期 欠 代 模型 的 核心 思想 是 网 络 应 用 驱动 理论 和 成 本 评价 机 制 。 当 网 络 系统 无 法 
满足 用 户 的 需求 时 ， 就 必须 进入 到 下 一 个 和 欠 代 周期 。 成 本 评价 机 制 决定 是 否 结束 网 络 系统 的 生 
命 周 期 : 当 对 已 有 投资 的 再 利用 成 本 小 于 新 建 系统 的 成 本 时 ， 网 络 系统 可 以 进入 下 一 次 友 代 周 
期 ;否则 就 必须 舍弃 和 迭代， 新 建 网 络 系统 。 网 络 生命 周期 的 迭代 模型 如 图 3-1 所 示 。 


区 


图 3-1 网 络 生 命 周 期 的 欠 代 模型 
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每 一 个 迭代 周期 ， 都 是 一 个 网 络 重 构 的 过 程 。 不 同 的 网 络 设计 方法 中 ， 对 迭代 周期 的 划分 
方式 是 不 同 的 ， 常 见 的 迭代 周期 构成 方式 主要 有 三 种 。 


1. 四 阶段 周期 


四 阶段 周期 的 特点 是 ， 能 够 快速 适应 新 的 需求 ， 踢 调 网 络 建设 周期 中 的 宏观 管理 ， 灵 活性 
较 强 。 四 阶段 周期 的 长 处 在 于 工作 成 本 较 低 、 灵 活性 高 ， 适 用 于 网 络 规模 较 小 、 需 求 较 为 明确 、 
网 络 结构 简单 的 网 络 工 程 。 

如 图 3-2 所 示 ， 四 个 阶段 分 别 为 构思 与 规划 阶段 、 分 析 与 设计 阶段 、 实 施 与 构建 阶段 和 运 
行 与 维护 阶段 ， 这 四 个 阶段 之 间 有 一 定 的 重 登 ， 保 证 了 两 个 阶段 之 间 的 交接 工作 ， 同 时 也 赋予 
了 网 络 工 程 设计 的 灵活 性 。 

(1) 构思 与 规划 阶段 明确 网 络 设计 或 改造 的 需求 ， 同 时 确定 新 网 络 的 建设 目标 。 

《2) 分 析 与 设计 阶段 : 根据 网 络 需求 进行 设计 ， 形 成 特定 的 设计 方案 。 

(3) 实施 与 构建 阶段 : 根据 设计 方案 进行 设备 购置 、 安 疫 、 调 试 ， 建 成 可 试用 的 网 络 环境 。 

(4) 运行 与 维护 阶段 : 提供 网 络 服务 ， 并 实施 网 络 管理 。 


运行 与 维护 阶段 


实施 与 构建 阶段 


时 间 轴 


图 3-2 ”四 阶段 周期 
2. 五 阶段 周期 


五 阶段 周期 是 较为 名 见 的 友 代 周期 划分 方式 , 将 一 次 欠 代 划分 为 五 个 阶段 : 需求 规范 阶段 、 
通信 规范 阶段 、 多 和 辑 网 络 设计 阶段 、 物 理 网 络 设计 阶段 、 实 施 阶段 。 每 个 阶段 都 是 一 个 工作 环 
节 ， 每 个 环节 完毕 后 才能 进入 下 一 个 环节 ， 类 似 于 软件 工程 中 的 “瀑布 模型 ”， 如 图 3-3 所 示 。 


通信 规范 


轩 辑 网 络 设计 


物理 网 络 设计 

实施 阶段 
图 3-3 五 阶段 周期 

按照 这 种 流程 构建 网 络 ， 在 下 一 个 阶段 开始 之 前 ， 前 面 每 个 阶段 的 工作 必须 已 经 完成 。 一 
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般 情 况 下 ， 不 允许 返回 到 前 面 的 阶段 。 如 果 前 一 阶段 的 工作 没有 完成 就 开始 进入 下 一 个 阶段 ， 
则 会 对 后 续 的 工作 造成 较 大 的 影响 ， 甚 至 产生 工期 拖 后 和 成 本 超 文 。 

五 阶段 周期 的 主要 优势 在 于 所 有 的 计划 在 较 早 的 阶段 完成 ， 该 系统 的 所 有 负责 人 对 系统 的 
具体 情况 以 及 工作 进度 都 非常 清楚 ,更 容易 协调 工作 。 五 阶段 周期 的 缺点 是 比较 死板 ， 不 灵活 。 
因为 往往 在 项 目 完 成 之 前 ， 用 户 的 需求 经 负 会 发 生变 化 ， 这 使 得 已 开发 的 部 分 需要 经 种 修改， 
从 而 影响 工作 的 进程 ， 所 以 基于 这 种 流程 完成 网 络 设 计时 ， 用 户 的 需求 确认 工作 非常 重要 。 

五 阶段 周期 由 于 存在 较为 严格 的 需求 和 通信 分 析 规 范 ,， 并 且 在 设计 过 程 中 充分 考虑 了 网 络 
的 逻辑 特性 和 物理 特性 ， 因 此 较为 严 说 ， 适 用 于 网 络 规模 较 大 ， 需 求 较为 明确 ， 在 一 次 旬 代 过 
程 中 需求 变更 较 小 的 网 络 工程 。 


3. 六 阶段 周期 


六 阶段 周期 是 对 五 阶段 周期 的 补充 ， 是 对 其 缺乏 灵活 性 的 改进 ; 通过 在 实施 阶段 前 后 增加 
相应 的 测试 和 优化 过 程 , 提高 网 络 建设 工程 中 对 需求 变更 的 适应 性 。 六 个 阶段 分 别 由 需求 分 析 、 
逻辑 设计 、 物 理 设 计 、 设 计 优 化 、 实 施 及 测试 、 监 测 及 性 能 优化 组 成 ， 如 图 3-4 所 示 。 


人 
7 
图 3-4 六 阶段 周期 


(1) 需求 分 析 : 网 络 分 析 人 员 通 过 与 用 户 和 技术 人 员 进 行 交 流 来 获取 新 系统 〈 或 系统 升级 ) 
的 商业 目标 和 技术 目标 ， 然 后 归纳 出 当前 网 络 的 特征 ， 分 析出 当前 和 将 来 的 网 络 通 信 量 、 网 络 
性 能 、 协 议 行 为 和 服务 质量 要 求 。 

(2) 逻辑 设计 : 主要 完成 网 络 的 逻辑 拓扑 结构 、 网 络 地 址 分 配 、 设 备 命名 、 交 换 及 路 由 协 
议 选 择 、 安 全 规划 、 网 络 管理 等 设计 工作 ， 并 且 根 据 这 些 设计 选择 设备 和 服务 提供 商 。 

(3) 物理 设计 : 根据 逻辑 设计 的 结果 选择 具体 的 技术 和 产品 ， 使 得 多 辑 变 计 成 琳 人 符合 工程 
设计 规范 。 

(4) 设计 优化 : 完成 工程 实施 前 的 方案 优化 ， 通 过 召开 专家 研讨 会 、 搭 建 试验 平台 、 网 络 
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仿真 等 多 种 形式 ， 找 出 设计 方案 中 的 缺陷 ， 并 进行 方案 优化 。 

(5) 实施 及 测试 : 根据 优化 后 的 方案 进行 设备 的 购置 、 安 装 、 调 试 与 测试 ， 通 过 测试 和 试 
用 发 现 网 络 环境 与 设计 方案 的 偶 差 ， 纠 正 过 程 中 的 错误 ， 必 要 时 修改 网 络 设计 方案 。 

(6) 监测 及 性 能 优化 : 通过 网 络 党 理 、 安 全 管理 等 技术 手段 ， 对 网 络 是 否 正常 运行 进行 实 
时 监控 ， 如 果 发 现 问 题 ， 通 过 优化 网 络 设备 配置 参数 ， 达 到 优化 网 络 性 能 的 目的 ， 如 末 发 现 网 
络 性 能 已 经 无 法 满足 用 户 需 求 ， 则 进入 下 一 次 友 代 周期 。 

六 阶段 周期 俩 重 于 网 络 的 汕 试 和 优化 ， 侧 重 于 网 络 需求 的 不 断 变更 ， 由 于 其 严格 的 逻辑 设 
计 和 物理 设计 规范 ， 使 得 该 模式 适合 于 大 型 网 络 的 建设 工作 。 


3.1.2 ”网 络 开发 过 程 


网 络 生命 周期 的 迭代 模型 为 描绘 网 络 项 目的 开发 提供 了 特定 的 理论 模型 ， 一 个 网 络 项 目 从 
构思 到 最 终 退出 应 用 ， 一 般 会 遵循 迭代 模型 ， 经 历 多 个 欠 代 周期 。 例 如 ， 在 网 络 建设 初期 建设 
的 是 试点 网 络 ， 网 络 规模 较 小 ， 宜 采用 四 阶段 方式 ， 进 行 全 面 网 络 建设 和 互 连 时 ， 网 络 规模 越 
来 越 大 ， 宜 采用 五 阶段 或 六 阶段 方式 。 由 于 网 络 工 程 中 ， 中 等 规模 的 网 络 较 多 ， 并 且 应 用 范围 
较 广 ， 在 后 续 的 章节 中 主要 介绍 五 阶段 迭代 周期 方式 。 在 较为 复杂 的 大 型 、 超 大 型 网 络 中 ， 和 采 
用 六 阶段 周期 时 ， 也 必须 完成 五 阶段 周期 中 要 求 的 各 项 工作 ， 只 是 增强 了 有 灵活 性 和 必须 的 验证 
机 制 。 

根据 五 阶段 迭代 周期 的 模型 ， 网 络 开发 过 程 可 以 衫 划分 为 五 个 阶段 。 如 图 3-$ 所 示 ， 这 五 
个 阶段 分 别 是 : 

。 再 求 分 析 ; 

。 现 有 网 络 系统 分 析 ， 即 通信 规范 分 析 ; 

。 确定 网 络 逻 辑 结构 ， 即 多 辑 网 络 设计 ; 

。 确定 网 络 物理 结构 ， 即 物理 网 络 设计 ; 

。 安装 和 维护 。 


通信 规范 分 析 逻辑 网 络 设计 物理 网 络 设计 安 闻 和 维护 


估计 和 测量 通 | | | 选择 符合 需求 | | | 将 逻辑 设计 应 


信 量 及 设备 乔 3 
用 率 的 设计 


RN 丈 辑 网 络 和 理 网 络 
TT 


色 3-5$ 五 阶段 网 络 开 发 过 程 


用 到 物理 空间 
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在 这 五 个 阶段 中 ， 每 个 阶段 都 必须 依据 上 一 阶段 的 成 果 完 成 本 阶段 的 工作 ， 并 形成 本 阶段 
的 工作 成 果 ， 作 为 下 一 阶段 的 工作 依据 。 这 些 阶段 成 果 分 别 为 “需求 规范 ”“ 通 信 规 范 ”“ 逻 
辑 网 络 设 计 ”“ 物 理 网 络 设计 ”。 


1. 需求 分 析 


需求 分 析 是 开发 过 程 中 最 关键 的 阶段 。 需 求 分 析 阶 段 需 要 直接 面 对 的 就 是 需求 收集 的 困 
难 ， 收 集 需 求 信 息 不 仅 要 和 不 同 的 用 户 、 经 理 和 其 他 网 络 管理 员 交 流 ， 而 且 需 要 把 交流 所 得 信 
县 归纳 解释 。 设 计 人 员 根 据 工程 经 验 ， 均 衡 考 虑 各 方 和 利益， 不 激化 用 户 矛 盾 ， 保 证 最 终 的 网 络 
是 可 用 的 。 需 求 分 析 有 助 于 设计 者 更 好 地 理解 网 络 应 该 具有 什么 功能 和 性 能 ， 最 终 设 计 出 符合 
用 户 需 求 的 网 络 ， 它 为 网 络 设计 提供 了 下 述 的 依据 : 

e。 能够 更 好 地 评价 现 有 的 网 络 体系 ; 

e。 能够 更 客观 地 做 出 决策 ; 

e。 提供 完美 的 交互 功能 ; 

e。 提供 网 络 的 移植 功能 ; 

e 合理 使 用 用 户 资源 。 

不 同 的 用 户 有 不 同 的 网 络 需 求 ， 收 集 需 求 需 要 考虑 : 

e。 ”业务 需求 ; 

e。 用 户 需 求 ; 

e。 应 用 需求 ; 

e。 计算 机 平台 需求 ; 

e。 网 络 需 求 。 

在 需求 分 析 阶 段 应 该 尽量 明确 定义 用 户 的 需求 ， 详 细 的 需求 描述 使 得 最 终 的 网 络 更 有 可 能 
满足 用 户 的 要 求 。 需 求 分 析 的 输出 是 产生 一 份 需求 说 明 书 ， 也 就 是 需求 规范 。 网 络 设计 者 必须 
规范 地 把 需求 记录 在 一 份 需求 说 明 书 中 ， 清 楚 而 细致 地 总 结 单位 和 个 人 的 需要 和 愿望 。 在 形成 
需求 说 明 书 之 前 ， 网 络 工 程 设 计 人 员 还 必须 与 网 络 管理 部 门 就 需求 的 变化 建立 起 需求 变更 机 
制 ， 明 确 允 许 的 变更 范围 。 在 写 完 需 求 说 明 书 后 ， 管 理 者 与 网 络 设计 者 应 该 正式 达成 共识 ， 并 
在 文件 上 签字 ， 这 是 规避 网 络 建设 风险 的 关键 。 


2. 现 有 网 络 系统 分 析 


如 果 当 前 网 络 开发 过 程 是 对 现 有 网 络 的 升级 和 改造 ， 则 必须 对 现 有 网 络 系统 进行 分 析 。 现 
有 网 络 系统 分 析 的 工作 目的 是 描述 资源 分 布 ， 以 便 在 升级 时 尽量 保护 已 有 投资 。 通 过 该 工作 ， 
可 以 使 网 络 设计 者 擎 握 网 络 现 在 所 处 的 状态 和 情况 。 

在 这 一 阶段 ， 应 给 出 一 份 正式 的 通信 规范 说 明文 要 ， 通 信 规 范 说 明文 档 内 容 如 下 : 

。 现 有 网 络 的 逻辑 拓 扑 图 ; 

e。 反映 网 络 容量 、 网 段 及 网 络 所 需 的 通信 容量 和 模式 ; 
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e。 详细 的 统计 数据 、 基 本 的 测量 值 和 所 有 其 他 直接 反映 现 有 网 络 性 能 的 测量 值 ; 

e。 Internet 接口 和 广域网 提供 的 服务 质量 (QoS) 报 告 ; 

e。 限制 因素 列表 清单 ， 例 如 ， 使 用 线 统 和 设备 等 。 

3. 确定 网 络 逻 辑 结构 

网 络 逻 辑 结构 设计 是 体现 网 络 设 计 核 心思 想 的 关键 阶段 , 在 这 一 阶段 根据 需求 规范 和 通信 
规范 ， 选 择 一 种 比较 适宜 的 网 络 逻 辑 结 构 ， 并 实施 后 续 的 资源 分 配 规划 、 安 全 规划 等 内 容 。 

网 络 的 逻辑 结构 设计 来 自 于 用 户 需求 中 摘 述 的 网 络 行为 、 性 能 等 要 求 ， 轴 辑 设 计 要 根据 网 
络 用 户 的 分 类 、 分 布 ， 形 成 特定 的 网 络 结构 ， 该 网 络 结构 大 致 摘 述 了 设备 的 互 连 及 分 布 ， 但 是 
不 对 具体 的 物理 位 置 和 运行 环境 进行 确定 。 馆 辑 网 络 设计 阶段 ， 设 计 人 员 一 般 更 关注 于 网 络 层 
的 连接 图 ， 涉 及 网 络 互 联 、 地 址 分 配 、 网 络 层 流量 等 关键 因素 。 

此 阶段 最 后 应 该 得 到 一 份 忆 辑 网 络 设计 文档 ， 输 出 的 内 容 包 括 以 下 几 点 : 

e。 ”也 辑 网络 议 计 图 ; 

e 了 JP 地 址 方案 ; 

e 安全 方案 ; 

e。 具体 的 软 便 件 、 广 域 网 连接 设备 和 基本 的 服务 ; 

e。 招聘 和 培训 网 络 员 工 的 具体 说 明 ; 

e。 ”对 软 硬 件 、 服 务 、 员 工 和 培训 的 费用 的 初步 估计 。 


4. 确定 网 络 物理 结构 


物理 网 络 设 计 是 对 逻辑 网 络 设计 的 物理 实现 ， 通 过 对 设备 的 具体 物理 分 布 、 运 行 环 境 等 的 
确定 ， 确 保 网 络 的 物理 连接 符合 逻辑 连接 的 要 求 。 在 这 一 阶段 ， 网 络 设计 者 需要 确定 具体 的 软 
人 硬件、 连接 设备 、 布 线 和 服务 。 

网 络 物理 结构 设计 文档 必须 尽 可 能 详细 、 清 晰 ， 输 出 的 内 容 如 下 : 

e。 ”网络 物理 结构 图 和 布线 方案 ; 

e。 设备 和 部 件 的 详细 列表 清单 ; 

e。 软 硬 件 和 安装 费用 的 估算 ; 

e。 安装 日 程 表 ， 详 细 说 明 服 务 的 时 间 以 及 期 限 ; 

e。 安装 后 的 测试 计划 ; 

e。 用 户 的 培训 计划 。 

S. 安 闭 和 维护 

第 五 个 阶段 可 以 分 为 两 个 小 阶段 ， 分 别 是 安装 和 维护 。 

1) 安装 

安装 阶段 是 根据 前 面 各 个 阶段 的 工程 成 果 ， 实 施 环境 准备 、 设 备 安装 调试 的 过 程 。 安 装 阶 
段 的 主要 输出 是 网 络 本 身 。 安 装 阶段 应 该 产生 的 输出 如 下 : 
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e。 逻辑 网 络 岁 和 物理 网 络 图 ， 以 便于 管理 人 员 快速 掌 握 网 络 ; 

e。 满足 规范 的 设备 连接 图 、 布 线 图 等 细节 图 ， 同 时 包括 线 绵 、 连 接 器 和 设备 的 规范 标识 ; 

e。 运营 维护 记录 和 文档 ， 包 括 测试 结果 和 新 的 数据 流量 记录 。 

在 安装 开始 之 前 ， 所 有 的 软 便 件 资源 必须 准备 完毕 ， 并 通过 测试 。 在 网 络 投入 运营 之 前 ， 
人 员 、 培 训 、 服 务 、 协 议 等 都 是 必须 准备 好 的 资源 。 

2) 维护 

网 络 维护 又 称 为 网 络 产品 的 售后 服务 。 网 络 安装 完 成 后 ， 接 受用 户 的 反馈 意见 和 监控 是 网 
络 管理 员 的 任务 。 网 络 投入 运行 后 ， 需 要 做 大 量 的 故障 监测 和 故障 恢复 以 及 网 络 升级 和 性 能 优 
化 等 维护 工作 。 


3.1.3 网 络 设计 方法 


一 个 好 的 网 络 设计 必须 能 够 体现 客户 的 各 种 商业 和 技术 需求 ， 包 括 可 用 性 、 可 扩展 性 、 可 
付 性 、 安 全 性 和 可 管理 性 。 而 各 种 网 络 构建 或 升级 需求 会 导致 设计 问题 的 复杂 和 重复 ， 这 残 需 
要 一 种 有 效 、 有 序 的 设计 方法 及 相关 模型 。 在 软件 工程 领域 通常 采用 目 底 和 同上 《如 面 癌 服务 的 
软件 设计 方法 ) 、 目 项 同 下 《如 模块 化 软件 设计 方法 ) 等 各 种 设计 方法 。 计 算 机 网 络 设计 通 季 
采用 上 自 顶 向 下 〈Top-Down) 的 模块 化 设计 方法 ， 即 从 网 络 模型 上 层 开 始 ， 直 至 底层 ， 最 终 确 定 
各 模块 ， 满 足 应 用 需求 ， 如 图 3-6 所 示 。 


设备 、 功 能 


图 3-6 目 顶 问 下 的 网 络 设计 方法 


自 顶 向 下 是 一 种 模块 化 设计 方法 ， 对 应 到 OSI 网 络 七 层 参 考 模型 ， 即 先 研究 应 用 层 、 会 话 
层 和 传输 层 的 需求 和 功能 ， 确 定 网 络 体系 框架 ， 然 后 设计 、 选 择 较 低 层 的 路 由 器 、 交 换 机 和 物 
理 线路 。 根 据 某 种 设计 模型 将 网 络 设计 问题 分 割 成 多 个 模块 ， 分 别 设 计 ， 模 块 之 间 确 定 标准 接 
口 ， 使 它们 互相 匹配 起 来 。 将 模块 化 设计 方法 应 用 于 网 络 设 计 中 有 以 下 好 处 : 

《1) 理解 和 设计 较 小 且 简 单 的 模块 比 理解 和 设计 整个 网 络 更 容易 ; 

〈2) 与 整个 网 络 相 比 ， 碍 明 较 小 模块 存在 的 故障 更 加 容易 ; 

(3) 模块 重用 可 以 节省 花费 在 设计 与 实现 上 的 时 间 和 精力 ; 

《4) 模块 重用 使 网 络 更 容易 扩展 ， 以 保证 网 络 的 可 扩展 性 ; 

45) 修改 模块 比 改动 整个 网 络 更 加 容易 ， 由 此 带 来 设计 的 灵活 性 。 
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下 面 介 绍 模块 化 网 络 设计 中 使 用 的 模型 ， 其 中 层次 化 网 络 设计 模型 广泛 用 于 网 络 设计 工程 
中 ， 企 业 复 合 网 络 模型 则 经 常 作为 层次 化 模型 的 补充 出 现在 网 络 方案 设计 中 。 


1. 层次 化 网 络 设计 模型 


层次 化 网 络 设计 模型 如 图 3-7 所 示 。 层 次 化 模型 由 外 向 内 由 接 入 层 、 分 布 层 和 核心 层 三 个 
功能 层 组 成 。 

。 接 入 层 : 为 用 户 提供 接 入 网 络 的 服务 ， 也 称 为 访问 层 。 

e。 分布 层 : 提供 用 户 到 核心 层 之 间 的 连接 ， 也 称 为 汇聚 层 。 

。 核心 层 : 高 速 的 网 络 上 骨干 。 


图 3-7 ”层次 化 网 络 设计 模型 


这 三 层 也 可 以 视 为 三 个 模块 ， 每 个 模块 都 有 特定 的 功能 ， 设 计 网 络 时 需要 选择 不 同 的 网 络 
设备 满足 这 些 需 求 。 图 3-8 给 出 了 一 个 从 实际 网 络 拓扑 图 到 层次 化 模型 的 映射 。 


核心 层 


分 布 层 


本 地 用 户 本 地 用 户 至 分 公司 用 户 
图 3-8 ”网络 拓扑 图 到 层次 化 模型 的 映射 
使 用 层次 化 模型 进行 网 络 设计 时 ， 并 不 是 每 一 层 都 需要 有 对 应 的 网 络 设备 。 例 如 ， 对 一 个 
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较 小 型 的 网 络 ， 所 有 用 户 和 直接 接 入 核心 层 设 备 ， 此 时 就 没有 分 布 层 。 而 设计 大 型 网 络 时 ， 接 入 
点 可 能 不 是 一 台 主 机 ， 而 是 一 个 分 文 网 络 ， 如 图 3-8 所 示 ， 分 公司 网 络 接 入 主干 网 时 ， 可 认为 
它 属 于 接 入 层 的 一 个 节点 ， 但 是 针对 分 公司 网 络 设计 时 ， 依 然 可 使 用 层次 化 模型 依次 分 为 核心 
层 、 分 布 层 和 接 入 层 来 设计 。 下 面 分别 对 这 三 个 层次 进行 讨论 。 

1) 接 入 层 

接 入 层 又 称 访问 层 ， 是 用 户 接 入 网 络 的 地 方 ， 用 户 可 以 是 本 地 的 ， 也 可 以 是 远程 的 。 接 入 
层 可 以 通过 人 集线器、 交换机 、 网 桥 、 路 由 器 和 无 线 访问 点 为 本 地 用 户 提 供 接 入 服务 ， 也 可 以 通 
过 VPN 技术 让 远程 用 户 经 Internet 接 入 内 部 网 络 。 接 入 层 往往 需要 有 相应 的 策略 来 保证 只 有 授 
权 用 户 才 可 接 入 网 络 。 

2) 分 布 层 

分 布 层 又 称 汇聚 层 ， 是 核心 层 和 接 入 层 之 间 的 接口 。 分 布 层 的 功能 和 特性 如 下 : 

(1) 通过 过 滤 、 优 先 级 和 业务 排队 来 实现 策略 。 

《2) 在 接 入 层 和 核心 层 之 间 进 行路 由 选择 。 如 果 在 接 入 层 和 核心 层 使 用 的 路 由 协议 不 同 ， 
那么 分 布 层 负责 在 各 路 由 协议 之 间 重 新 共享 路 由 信息 ， 如 果 有 必要 ， 还 需要 对 路 由 信息 进行 
过 滤 。 

《3 ) 执行 路 由 汇总 。 当 路 由 被 汇总 后 ,路 由 器 只 需要 在 路 由 表 中 保存 较 少 的 汇总 路 由 信息 ， 
这 会 使 路 由 表 变 小 ， 减 少 路 由 器 查找 路 由 表 时 间 和 对 内 存 的 需求 。 此 外 路 由 的 更 新 信息 也 会 减 
少 ， 从 而 占用 的 网 络 带宽 减少 。 

(4) 提供 到 接 入 设备 和 核心 设备 的 元 余 连接 。 

(5$) 把 多 个 低速 接 入 的 连接 汇聚 到 高 速 的 核心 连接 上 ， 如 果 有 必要 ， 还 需要 在 不 同 的 传输 
介质 之 间 转 换 。 

3) 核心 层 

核心 层 提 供 高 速 的 网 络 主干 。 核 心 层 的 功能 和 属性 如 下 : 

(1) 为 了 在 骨干 网 上 快速 地 传输 数据 ， 核 心 层 应 具有 高 速度 、 低 延 时 的 链 路 和 设备 。 

(2) 通过 提供 了 元 余 设 备 和 链 路 使 得 网 络 不 存在 单 点 故障 ， 从 而 实现 高 可 靠 的 网 络 骨干 。 

(3) 使 用 快速 收敛 路 由 协议 可 以 迅速 适应 网 络 变化 。 此 外 ， 路 由 协议 还 可 以 在 元 余 链 路 上 
配置 负载 均衡 ， 以 便 备份 的 网 络 资源 在 没有 网 络 故障 发 生 时 也 能 得 到 利用 。 因 为 过 滤 往 往 会 
低 处 理 速度 ， 所 以 一 般 核心 层 不 执行 过 滤 功 能 ， 而 将 过 滤 操 作 放 在 分 布 层 上 执行 。 

4) 层次 化 模型 的 优 缺 点 

使 用 层次 化 模型 进行 网 络 设计 具有 如 下 优点 : 

(1) 三 层 结构 减轻 了 内 层 网 络 主 设备 的 负载 。 由 于 分 布 层 的 过 滤 和 汇聚 ， 使 得 核心 层 设备 
避免 了 处 理 大 量 细 节 路 由 信息 ， 降 低 CPU 开销 和 网 络 带宽 消耗 。 

42) 降低 了 网 络 成 本 。 按 不 同 层次 功能 要 求 选 择 网 络 设备 ， 可 以 降低 不 必要 的 功能 投入 花 
费 。 此 外 ， 层 次 化 的 模型 结构 便于 网 络 管理 ， 降 低 网 络 运行 维护 花费 。 

(3) 简化 了 设计 元 素 ， 使 设计 易于 理解 。 

《4) 容易 变更 层次 结构 。 局 部 升级 不 会 影响 其 他 部 分 ， 扩 展 方便 。 
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但 是 使 用 层次 化 模型 设计 也 存在 局 限 性 。 处 理 大 型 复杂 的 网 络 设计 时 ， 接 入 层 往往 容易 引 
入 设计 错误 。 如 上 所 述 ， 每 个 接 入 点 可 能 又 是 一 个 层次 化 拓扑 子 结构 ， 随 着 网 络 复杂 性 提高 ， 
有 可 能 将 两 个 分 文 连 接 起 来 ， 如 图 3-9 所 示 。 


图 3-9 ” 接 入 层 的 错误 连接 


这 种 错误 会 造成 网 络 回环 ， 如 果 没 有 配置 合适 的 交换 策略 〈 如 生成 树 协 议 ) 或 路 由 协议 ， 
可 能 市 来 广播 风 姑 、 数 据 包 丢 失 等 严重 错误 ， 而 且 给 编制 网 络 文档 和 排 错 融 来 巨大 及 烦 。 此 外 ， 
层次 化 模型 很 难 体 现 不 同 的 安全 级 别 需 求 ， 如 企业 边界 和 企业 园区 往往 需要 不 同 的 安全 保护 ， 
而 对 应 到 三 层 模型 上 可 能 同样 是 接 入 层 的 一 个 节点 而 已 。 所 以 可 以 考虑 选用 或 者 配合 使 用 其 他 
网 络 设计 模型 ， 如 接 下 来 将 要 介绍 的 企业 复合 网 络 模型 。 


2. 企业 复合 网 络 模型 
企业 复合 网 络 模型 也 是 一 种 模块 化 设计 方法 ， 它 来 自 思科 公司 的 SAFE 模型 〈Security 
Architecture for Enterprise Networks) ， 这 个 模型 与 层次 化 模型 相 比 可 以 文 持 更 大 的 网 络 ， 更 


为 重要 的 是 它 曾 明了 网 络 中 的 功能 界线 , 企业 复合 网 络 模型 把 网 络 分 成 三 个 功能 区 , 如 图 3-10 
所 示 。 


企业 园区 服务 


提供 商 边界 


图 3-10 ”企业 复合 网 络 模型 的 功能 区 


这 三 个 功能 区 如 下 所 述 : 
(1) 企业 园区 : 这 个 功能 区 包含 了 一 个 园区 中 独立 运行 网 络 所 需 的 所 有 功能 ， 但 它 不 提供 
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远程 连接 。 一 家 企业 可 以 有 多 个 企业 园区 。 

(2) 企业 边界 : 这 个 功能 区 包含 了 企业 园区 与 远程 站 点 〈 包 括 Internet、 其 他 企业 园区 等 ) 
通信 所 需要 的 所 有 功能 。 

(3) 服务 提供 商 边 界 ; 这 个 功能 不 是 由 企业 实现 的 ， 而 是 用 来 表示 服务 提供 商 〈ISP) 所 
提供 的 与 Internet 连接 的 接 入 方式 。 

这 三 个 功能 区 内 部 按照 层次 化 模型 的 核心 层 、 分 布 层 和 接 入 层 来 设计 功能 结构 。 企 业 园区 
主要 包含 了 基础 的 网 络 设施 。 企 业 边 界 区 是 企业 园区 和 服务 提供 商 之 间 的 接口 ， 为 了 保证 企业 
网 的 安全 ， 人 往往 需 要 在 企业 边界 区 设置 防火 场 。 此 外 ， 为 了 使 授权 的 远程 用 户 能 接 入 企业 网 ， 
企业 边界 区 经 单 需要 设置 虚拟 专用 网 络 (VPN ) 接口 。 

服务 提供 商 边界 不 是 由 企业 实现 的 ,但 是 网 络 设计 时 必须 根据 用 户 需 求 选择 合适 的 服务 提 
供 商 。 为 了 确保 服务 的 可 用 性 ， 可 以 采用 多 个 ISP 服务 见 余 连接 。 


3. 局 平 化 大 二 层 网 络 模型 


传统 的 三 层 数据 中 心 架 构 的 设计 采用 生成 树 协 议 (Spanning Tree Protocol，STP ) 来 优化 客 
户 凯 到 服务 器 的 路 径 和 文 持 连接 见 余 ， 通 常 将 二 层 网 络 的 范围 限制 在 网 络 接 入 层 以 下 ， 避 免 出 
现 大 苑 围 的 二 层 广 播 域 。 

虚拟 化 从 根本 上 改变 了 数据 中 心 网 络 架构 的 需求 ， 即 虚拟 化 引入 了 虚拟 机 动态 迁移 技术 ， 
从 根本 上 改变 了 传统 三 层 网 络 统治 数据 中 心 网 络 的 局 面 ， 从 而 要 求 网 络 支 持 大 范围 的 二 层 域 ， 
在 此 情况 下 形成 了 由 核心 层 与 接 入 层 构成 的 局 平 化 大 二 层 网 络 模型 。 

1) 服务 堪 虚 拟 化 

服务 器 虚拟 化 技术 是 把 一 台 物 理 服务 器 虚拟 化 成 多 台 膛 辑 服 务 器 ， 这 种 逻辑 服务 器 被 称 为 
虚拟 机 (VM) ， 每 个 VM 都 可 以 独立 运行 ， 有 自己 的 0S、APP， 当 前 也 有 自己 独立 的 MAC 
地 址 和 了 王 地 址 ， 它 们 通过 服务 器 内 部 的 虚拟 交换 机 〈VSwitch) 与 外 部 实体 网 络 连接 。 通 过 服 
务 吉 虚拟 化 ， 可 以 有 效 地 提高 服务 器 的 利用 率 ， 降 低能 源 消 耗 ， 降 低 客 户 的 运 维 成 本 ， 所 以 虚 
拟 化 技术 目前 得 到 了 广泛 的 应 用 。 

服务 器 虚拟 化 市 来 了 一 项 伴生 的 技术 ， 那 就 是 虚拟 机 动态 迁移 ， 即 在 保证 虚拟 机 上 服务 正 
第 运 行 的 同时 ， 将 一 个 虚拟 机 系统 从 一 个 物理 服务 器 移动 到 另 一 个 物理 服务 器 。 该 过 程 对 于 最 
终 用 户 来 说 是 无 感知 的 , 但 管理 员 能 够 在 不 影响 用 户 正 常 使 用 的 情况 下 , 灵活 调配 服务 器 资源 ， 
或 者 对 物理 服务 器 进行 维修 和 升级 。 

为 了 保证 迁移 时 业务 不 中 断 ， 就 要 求 在 迁移 时 ， 不 仅 虚拟 机 的 卫 地 址 不 变 ， 而 且 虚 拟 机 
的 运行 状态 也 必须 保持 原状 〈 例 如 TCP 会 话 状 态 ) ， 所 以 虚拟 机 的 动态 迁移 只 能 在 同一 个 二 层 
域 中 进行 ， 而 不 能 跨 二 层 域 迁 移 。 而 传统 的 二 三 层 网 络 架构 限制 了 虚拟 机 的 动态 迁移 ， 使 其 只 
能 在 一 个 较 小 的 局 部 范围 内 进行 ， 应 用 受到 了 极 大 的 限制 。 

2) 障 起 技术 

Overlay 方案 的 核心 就 是 通过 点 到 多 点 的 隧道 封装 协议 ， 完 全 忽略 中 间 网 络 的 结构 和 细节 ， 
把 整个 中 间 网 络 虚 拟 成 一 台 “ 巨 大 无 比 的 二 层 交 换 机 ”， 每 一 台 主 机 都 是 直接 连 在 这 台 “ 巨 大 
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交换 机 ”的 一 个 端口 上 。 

隧道 技术 的 代表 是 TRILL、SPB， 都 是 通过 借用 IS-IS 路 由 协议 的 计算 和 转发 模式 ， 实 现 
二 层 网 络 的 大 规模 扩展 。 这 些 技术 的 特点 是 可 以 构建 比 虚拟 交换 机 技术 更 大 的 超大 规模 二 层 网 
络 〈 应 用 于 大 规模 集群 计算 ) ， 目 前 正在 标准 化 过 程 中 。 同 时 传统 交换 机 不 仅 需 要 软件 升级 ， 
还 需要 人 硬件 支持 。 

3) 路 数据 中 心 

随 独 数据 中 心 多 中 心 的 部 署 ， 虚 拟 机 的 路 数据 中 心 迁 移 、 灾 备 ， 路 数据 中 心 业 务 负载 分 担 等 
需求 , 使 得 二 层 网 络 的 扩展 不 仅 是 在 数据 中 心 的 边界 为 止 , 还 需要 考虑 跨越 数据 中 心机 房 的 区 域 ， 
延伸 到 同城 备份 中 心 、 远 程 灾 备 中 心 。 一 般 情 况 下 ， 多 数据 中 心 之 间 的 连接 是 通过 路 由 连通 的 ， 
天 然 是 一 个 三 层 网 络 。 要 实现 通过 三 层 网 络 连接 的 两 个 二 层 网 络 互通 , 就 必须 实现 *L2 overL3”， 
即 借助 隧道 的 方式 ， 将 二 层 数据 报 文 封 朔 在 三 层 报 文中 ， 路 越 中 间 的 三 层 网 络 ， 实 现 两 地 二 层 数 
据 的 互通 。 这 种 隧道 就 像 一 个 虚拟 的 桥 ， 将 多 个 数据 中 心 的 二 层 网 络 贯穿 在 一 起 。 


3.1.4 网 络 设计 的 约束 因素 


网 络 设计 的 约束 因素 是 网 络 设计 工作 必须 齐 循 的 一 些 附 加 条 件 。 一 个 网 络 设计 如 果 不 满足 
约束 条 件 ， 将 导致 该 网 络 设 计 无 法 实施 。 所 以 ， 在 需求 分 析 阶 段 ， 在 确定 用 户 需求 的 同时 ， 也 
应 对 这 些 附加 条 件 进 行 明 确 。 一 般 来 说 ， 网 络 设计 的 约束 因素 主要 来 目 于 政策 、 预 算 、 时 间 和 
应 用 目标 检查 方面 。 


1. 政策 约束 


了 解 政策 约束 的 目标 是 发 现 隐 纠 在 项 目 背 后 的 可 能 导致 项 目 失败 的 事务 安排 、 持 续 的 争 
论 、 偶 见 、 利 益 关 系 或 历史 等 因素 。 政 策 约束 的 来 源 包 括 法 律 、 法 规 、 行 业 规 定 、 业 务 规范 、 
技术 规范 等 ， 政 策 约 束 的 直接 体现 是 法 律 法 规 条 文 、 发 表 的 暂行 规定 、 国 际 / 国 家 /行业 标准 、 
行政 通知 与 发 文 等 。 

在 网 络 开发 中 ， 设 计 人 员 需 要 与 客户 就 协议 、 标 准 、 供 应 商 等 方面 的 政策 进行 讨论 ， 弄 清 
楚 客 户 在 传输 、 路 由 选择 、 果 面 或 其 他 协议 方面 是 否 已 经 制定 了 标准 ， 是 否 有 关于 开发 和 专 有 
解决 方案 的 规定 ， 是 否 有 认可 供应 商 或 平台 方面 的 相关 规定 ， 是 人 否 允 许 不 同 广 商 之 间 的 驶 争 。 
在 明确 了 这 些 政策 约束 后 ， 才 能 开展 后 期 的 设计 工作 ， 以 免 出 现 设计 失败 或 重复 设计 的 现象 。 


2. 预算 约束 


预算 是 决定 网 络 设 计 的 关键 因素 ， 很 多 满足 用 户 需 求 的 优 民 设计 ， 驳 是 因为 突破 了 用 户 的 
基本 预算 而 不 能 实施 。 对 于 预算 不 能 满足 用 户 网 络 需求 的 情况 ， 应 该 在 统筹 规划 的 基础 上 将 网 
络 建设 工作 划分 为 多 个 迭代 周期 ， 阶 段 性 地 实现 网 络 建设 目标 。 

网 络 预算 一 般 分 为 一 次 性 投资 预算 和 周期 性 投资 预算 。 一 次 性 投资 预算 主要 用 于 网 络 的 初 
始 建设 ， 包 括 设 备 采 购 、 购 买 软件 、 维 护 和 测试 系统 、 培 训 工 作 人 员 以 及 设计 和 安装 系统 的 费 
用 等 。 周 期 性 投资 预算 主要 用 于 后 期 的 运营 维护 ， 包 括 人 员 消 耗 、 设 备 维护 消耗 、 软 件 系 统 升 
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级 消耗 、 材 料 消 耗 、 信 息 费 用 、 线 路 租用 费用 等 多 个 方面 。 
3. 时 间 约 束 


网 络 设计 的 进度 安排 是 需要 考虑 的 另 一 个 问题 。 项 目 进 度 表 限 定 了 项 目 最 后 的 期 限 和 重要 
的 阶段 。 通 常 ， 项 目 进度 是 由 客户 负责 管理 ， 但 网 络 设 计 者 必须 就 该 日 程 表 是 否 可 行 提 出 自己 
的 意见 。 

有 许多 种 开发 进度 表 的 工具 ， 在 全 面 了 解 了 项 目 之 后 ， 要 对 网 络 设计 者 目 行 安排 的 计划 与 
进度 表 的 时 间 进 行 对 照 分 机 ， 对 于 存在 疑问 的 地 方 ， 要 及 时 与 客户 进行 沟通 。 


4. 应 用 目标 检查 


在 进行 下 一 阶段 的 任务 之 前 ， 需 要 确定 是 否 了 解 了 客户 的 应 用 目标 和 所 关心 的 事项 。 通 过 
应 用 目标 检查 ， 可 以 避免 用 户 需 求 的 缺失 。 

在 网 络 设计 工作 中 ， 由 于 用 户 的 不 同 群 体 存 在 着 不 同 的 需求 和 约定 ， 经 香 会 出 现 约束 条 件 
冲突 的 情况 ， 这 些 约束 条 件 的 冲突 问题 可 以 依据 两 种 思路 来 解决 : 一 是 由 用 户 的 信息 主管 部 门 
协调 解决 ， 二 是 针对 冲突 的 约束 条 件 排 定 优先 级 ， 优 先 满足 最 高 级 别 的 约束 条 件 。 


3.1.5 网络 设计 文档 


1. 文档 的 作用 


文档 是 网 络 设计 工作 中 的 重点 环节 ， 和 上 履 盖 了 需求 规范 、 通 信 规 范 、 罗 辑 设 计 、 物 理 议 计 、 
网 络 实施 、 运 营 维 护 等 各 个 阶段 ， 通 过 对 网 络 分 机、 设计 实 现 等 阶段 的 细节 进行 描述 ， 说 明 开 
发 一 个 网 络 的 步骤 。 文 档 的 编制 在 网 络 项 目 开 发 工作 中 占有 突出 的 地 位 。 高 效率 、 高 质量 地 开 
发 、 分 发 、 管 理 和 维护 文档 对 于 转让 、 变 更 、 修 正 、 扩 充 和 使 用 文档 ， 以 及 充分 发 挥 网 络 产品 
的 效益 都 有 看 重要 的 意义 。 

网 络 开发 过 程 中 ， 网 络 开 发 人 员 需 要 制订 一 些 工 作 计划 或 工作 报告 ， 这 些 计划 和 报告 要 提 
供给 管理 人 员 ， 并 得 到 必要 的 支持 。 管 理 人 员 则 可 通过 这 些 文档 了 解 网 络 开 发 项 目的 安排 、 进 
度 、 资 源 使 用 和 成 果 等 。 

从 形式 上 看 ， 文 档 大 致 可 以 分 为 两 类 : 一 类 是 网 络 设计 过 程 中 填写 的 各 种 图 表 ， 可 称 为 
工作 表格 ， 另 一 类 是 应 编制 的 技术 资料 或 技术 管理 资料 ， 可 称 为 文档 或 文件 。 文 档 的 编制 可 
以 用 上 自然 语言 ， 或 特别 设计 的 形式 语言 ， 或 是 介 于 两 者 之 间 的 半 形 式 语 言 〈《 结 构 化 语言 ) 以 
及 各 类 图 表 和 表格 来 表示 。 文 档 可 以 书写 ， 也 可 以 在 计算 机 文 持 的 系统 中 产生 ， 但 它 必 须 是 
可 以 阅读 的 。 


2. 文档 的 质量 


文档 的 编制 必须 保证 质量 ， 以 发 挥 文档 的 指导 作用 ， 这 有 助 于 管理 人 员 监 督 和 管理 系统 开 
发 ， 有 助 于 用 户 了 解 系统 开发 的 工作 ， 有 助 于 维护 人 员 进行 有 效 的 修改 和 扩充 。 高 质量 的 文档 
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应 当 体 现在 以 下 方面 : 

(1) 针对 性 : 根据 不 同类 型 、 不 同 层 次 的 读者 决定 文档 的 具体 内 容 。 

2) 精确 性 : 文档 的 行文 应 当 十 分 确切 ， 不 能 出 现 多 义 性 的 表述 。 

(3) 清晰 性 : 文档 编写 应 力求 简明 ， 如 有 可 能 ， 配 以 适当 的 图 表 ， 使 文档 简洁 明了 。 

《4) 完整 性 : 任何 一 个 文档 都 应 当 是 完整 、 独 立 、 目 成 体系 的 。 

《5) 灵活 性 : 各 种 不 同 的 项 目 系 统 ， 其 规模 和 复杂 程度 有 着 许 多 实际 差别 ， 需 仔细 、 共 体 
地 分 析 、 安 排 其 内 容 。 


3. 文档 的 管理 和 维护 


在 整个 网 络 生存 期 中 ， 各 种 文档 需 作 为 半成品 或 是 最 终 成 品 不 断 地 生成 、 修 改 或 补 序 。 为 
了 最 终 得 到 高 质量 的 产品 ， 达 到 所 提出 的 质量 要 求 ， 必 须 加 强 对 文档 的 管理 。 


3.2 ”需求 分 析 


3.2.1 建 网 目标 分 析 


建 网 目标 的 分 析 内 容 包括 最 终 目标 分 析 和 近期 目标 分 析 。 

最 终 目 标 分 析 内 容 包 括 : 网 络 建设 到 怎样 的 规模 :如何 满足 用 户 需 求 ; 采用 的 是 否 是 
TCP/AP:， 体系 结构 是 Intranet 还 是 非 Intranet ( 即 是 否 为 企业 网 ) ; 计算 模式 是 采用 传统 C/S 
模式 、B/S 模式 还 是 采用 B/SD 模式 ， 网 络 上 最 多 站 点 数 和 网 络 最 大 履 盖 范围 ;网 络 安 全 性 的 
要 求 ， 网 络 上 必要 的 应 用 服务 和 预期 的 应 用 服务 ;根据 应 用 服务 需求 对 整个 系统 的 数据 量 、 数 
据 流 量 及 数据 流向 进行 估计 ， 从 而 可 以 大 致 确定 网 络 的 规模 及 其 主干 设备 的 规模 和 选 型 。 

网 络 建设 的 近期 目标 一 般 比 较 具 体 且 容易 实现 ， 但 是 需要 注意 : 近期 建设 目标 所 确定 的 网 
络 方案 必须 有 利于 升级 和 扩展 到 最 终 建设 目标 ;在 升级 和 扩展 到 最 终 建 设 目标 的 过 程 中 ， 尽 可 
能 保持 近期 建设 目标 的 投资 。 


3.2.2 ”应 用 需求 分 析 


1. 应 用 背景 需求 


确定 应 用 目标 之 前 需要 分 析 应 用 背景 需求 ， 概 括 当 前 网 络 应 用 的 技术 背景 ， 明 确 行业 应 用 
的 方向 和 技术 趋势 ， 以 及 本 企业 网 络 信息 化 的 必然 性 。 同 时 应 用 背景 需求 分 析 需 要 考虑 实施 网 
络 集成 的 问题 ， 包 括 国外 同行 业 的 信息 化 程度 ， 以 及 取得 了 哪些 成 效 ， 国 内 同行 业 的 信息 化 趋 
势 ， 本 企业 信息 化 的 目的 ， 本 企业 拟 采用 的 信息 化 步骤 等 。 

1) 分 析 网 络 应 用 目标 的 工作 步骤 包括 : 

。 企业 高 层 管理 者 收集 商业 需求 ; 

。 收集 用 户 和 群体 需求 ; 
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。 收集 支持 用 户 和 用 户 应 用 的 网 络 需求 。 

《2) 典型 的 网 络 设计 目标 包括 : 

e。 加强 对 分 文 机 构 或 部 普 的 调控 能 力 ; 

e。 加 强 合 作 交 流 ， 共 字 重 要 数据 资源 ; 

e。 降低 电信 及 网 络 成 本 ， 包 括 与 语音 、 数 据 、 视 频 等 独立 网 络 有 关 的 开销 。 

3) 明确 网 络 设计 项 目 范 围 ， 具 体 包 括 : 

e。 设计 靳 网 络 还 是 修改 网 络 ; 

e。 网 络 规模 是 一 个 网 段 、 一 个 “组 ) 局 域 网 、 一 个 广域网 ， 还 是 远程 网 络 或 完整 的 企业 网 ; 
。 明确 用 户 的 网 络 应 用 《网 络 应 用 统计 表 ) 。 


2. 网 络 应 用 约束 


网 络 规划 设计 是 一 个 严谨 的 科学 扩 术 实施 过 程 ， 期 间 有 大 量 的 约束 存在 。 

(1) 对 于 政策 、 法 律 法 规 方面 的 约束 ， 在 需求 分 析 阶 段 要 做 到 以 下 儿 点 : 

e。 与 用 户 详细 讨论 其 办 公 政 策 和 技术 发 展 路 线 ; 

e。 要 与 用 户 就 协议 、 标 准 、 供 应 商 等 方面 的 政策 进行 讨论 ; 

e。 不 期 待 所 有 人 都 会 使 用 用 户 新 项 目 。 

(2) 对 于 预算 、 成 本 方面 的 约束 ， 在 需求 分 析 阶 段 要 做 到 以 下 几 点 : 

e。 网 络 规划 设计 的 目标 之 一 就 是 在 预算 内 进行 成 本 的 有 效 控 制 ; 

e。 预算 包括 设备 采购 、 软 件 采购 、 维 护 和 测试 费用 、 培 训 费 用 和 系统 设计 安 钱 费用 等 ， 

还 可 能 包括 数据 处 理 费用 和 外 包 费 用 。 

63) 对 于 时 间 方 面 的 约束 ， 在 需求 分 析 阶 段 要 做 到 以 下 几 点 : 

e。 用 项 目 进度 表 规 定 项 目 最 终 期 限 和 重要 阶段 ; 

e。 用 户 负 责 管理 项 目 进 度 ， 但 设计 者 必须 确认 日 程 表 的 可 行 性 。 
3.2.3 网 络 性 能 分 析 

网 络 规划 设计 有 严谨 科学 的 技术 指标 ， 可 以 实现 对 设计 网 络 性 能 的 定量 分 析 ， 因 此 在 进行 
网 络 需求 分 析 阶 段 ， 需 要 确定 网 络 性 能 的 技术 指标 。 很 多 国际 组 织 定义 了 明确 的 网 络 性 能 拉 术 
指标 ， 这 些 指标 为 我 们 设计 网 络 提供 了 一 条 性 能 基线 〈Baseline) ， 主 要 分 为 两 大 类 : 

e 网 元 级 : 网 络 设 备 的 性 能 指标 ; 

e。 网 络 级 : 将 网 络 看 作 一 个 整体 ， 其 端 到 端的 性 能 指标 。 


1. 时 延 “Delay 或 Latency ) 
时 延 是 从 网 络 的 一 端 发 送 一 个 比特 到 网 络 的 另 一 端 接收 到 这 个 比特 所 经 历 的 时 间 。 
总 时 延 三 传播 时 延 十 发 送 时 延 十 重 传 时 延 十 分 组 交换 时 延 十 排队 时 延 
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2. 吞吐 量 (Throughpnut) 

各 吐 量 是 在 单位 时 间 内 传输 无 差错 数据 的 能 力 。 吞 吐 量 可 针对 某 个 特定 连接 或 会 话 定 义 ， 
也 可 以 定义 网 络 总 的 吞吐 量 。 

3. 容量 (Capability ) 

容量 是 数据 通信 设备 发 挥 预 定 功能 的 能 力 ， 经 党 用 来 描述 通信 信道 或 连接 的 能 力 。 

4. 网 络 负载 

网 络 负载 用 G 表示 ， 指 在 单位 时 间 内 总 共 发 送 的 平均 帧 数 。 

吞吐 量 王 GP[ 发 送 成 功 ] 

S， 分 组 丢失 率 (Packet Loss Rate ) 

分 组 丢失 率 是 在 某 时 段 内 , 两 点 间 传 输 中 丢失 分 组 与 总 的 分 组 发 送 量 的 比率 , 也 叫 丢 失 率 。 
这 个 指标 是 反映 网 络 状 况 最 为 直接 的 指标 ， 无 拥塞 时 路 径 分 组 丢失 率 为 0， 轻 度 拥 塞 时 分 组 丢 
失 率 为 1% 一 4%， 严 重 拥塞 时 分 组 丢失 率 为 5% 一 1$%。 一 般 来 讲 ， 分 组 丢失 的 主要 原因 是 路 由 


需 的 缓存 队列 次 出 。 与 分 组 丢失 率 相 关 的 一 个 指标 是 “差错 率 ”， 也 称 “ 误 人 码 率 ”， 但 是 这 个 
值 通 各 极 小 。 


6. 时 延 抖 动 〈Jitter ) 

时 延 抖 动 是 分 组 的 单 向 时 延 的 变化 。 变 化 量 应 小 于 时 延 的 1% 一 2%， 即 对 于 平均 时 延 为 
200ms 的 分 组 ， 时 延 抖 动 为 2 一 4ms。 时 延 拌 动 对 视频 和 音频 的 干扰 影响 最 大 。 图 3-11 所 示 为 
上 述 网 络 性 能 指标 之 间 的 关系 。 

分 组 丢失 率 
59% 


Web 浏 览 、 文 件 传送 、 
静止 图 像 、 即 时 消息 


图 3-11 网 络 性 能 指标 
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7.。 带宽 (Bandwidth ) 


市 宽 分 为 瓶颈 带宽 和 可 用 带宽 。 瓶 颈 带 宽 是 指 两 台 主 机 之 间 路 径 上 的 最 小 带宽 链 路 《瓶颈 
链 路 ) 的 值 ， 可 用 市 宽 则 是 指 治 看 该 路 径 当 时 能 够 传输 的 最 大 闪 宽 。 表 3-1 为 儿 个 典型 应 用 的 


总 宽 需 求 。 
表 3-1 典型 应 用 的 带宽 需求 
应 用 帝 宽 
个 人 计算 机 通信 14.4kbits 一 SO0kbit/s 
数字 音频 1Mbit/s 一 2Mbit/s 
压缩 音频 2Mbit/s 一 10Mbit/s 
文档 备份 10Mbits 一 100Mbit/s 
非 压 缩 视 频 1Gbits 一 2Gbit's 


8. 响应 时 间 〈Respond Time ) 


响应 时 间 是 指 从 服务 请 求 发 出 到 接收 到 响应 所 花费 的 时 间 ， 经 常用 来 特 指 客户 机 辐 主 机 交 
互 地 发 出 请 求 并 得 到 响应 信息 所 需要 的 时 间 。 这 也 是 用 户 比 较 关 心 的 网 络 性 能 指标 。 一 般 来 讲 ， 
当 啊 应 时 间 超 过 100ms《〈 即 1/10s) 的 时 候 ， 就 会 引起 不 展 反 应 ; 超过 100ms， 就 能 意识 到 等 符 
网 络 的 传输 。 


9. 利用 率 〈Utilization ) 


利用 率 指 设备 在 使 用 时 所 能 发 挥 的 最 大 能 力 。 例 如 ， 网 络 监测 工具 表明 某 网 段 的 利用 率 是 
30%， 这 意味 着 有 30% 的 容量 在 使 用 中 。 在 网 络 分 析 与 设计 中 ， 通 常会 考虑 两 种 类 型 的 利用 率 ， 
即 CPU 利用 率 和 链 路 利用 率 。 


10. 效率 〈 上 Efficiency ) 


效率 是 指 为 产生 所 需 的 输出 要 求 的 系统 开销 。 网 络 效 率 明 确 了 发 送 通信 需要 的 系统 开销 ， 
不 论 这 些 系 统 开销 是 否 由 冲突 、 兰 错 、 重 定 同 或 确认 等 原因 所 致 。 目 前 提高 网 络 效率 的 方法 主 
要 有 : 一 是 尽 可 能 提高 MAC 层 允 许 的 最 大 长 度 的 帧 ， 二 是 使 用 长 帧 要 求 链 路 层 具 有 较 低 的 差 


11. 可 用 性 (Availability ) 
可 用 性 是 指 网 络 或 网 络 设 备 可 用 于 执行 预期 任务 的 时 间 总 量 〈 百 分 比 ) 。 卫 可 用 性 指标 用 
于 衡量 卫 网 络 的 性 能 ， 这 是 因为 许多 下 应 用 程序 运行 的 好 坏 直 接 依赖 于 卫 分 组 丢失 率 指 标 ; 


当 分 组 丢失 率 指标 超过 设 定 的 效 值 时 ， 许 多 应 用 变 得 不 可 用 。 因 此 ， 该 指标 反映 了 卫 分 组 丢失 
率 对 应 用 性 能 的 影 啊 。 
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12. 可 扩展 性 〈Scalability ) 

可 扩展 性 是 网 络 技术 或 设备 随 看 用 户 需 求 的 增长 而 扩充 的 能 

13. 安全 性 〈Security ) 

安全 性 总 体 目标 是 安全 性 问题 不 应 干扰 开展 业务 的 能 

14. 可 管理 性 (Manageability ) 

可 管理 性 是 每 个 用 户 都 可 能 有 其 不 同 的 网 络 可 管理 性 目标 。 

1S. 适应 性 (Adaptability ) 

适应 性 是 在 用 户 改 变 应 用 要 求 时 网 络 的 应 变 能 

16. 可 购买 性 〈Purchasability ) 

可 购买 性 是 基本 目标 在 给 定 财务 成 本 的 情况 下 ， 使 通信 量 最 大 。 
3.2.4 ”网络 流量 分 析 


分 机 和 确定 当前 网 络 通信 量 和 未 来 网 络 容 量 需 求 是 网 络 规划 设计 的 基础 。 有 基体 内 容 包括 : 

e。 人 参考 Internet 流量 当 六 的 特征 ; 

e。 需要 通过 基线 网 络 来 确定 通信 数量 和 容量 ; 

e。 需要 估算 网 络 流量 及 预测 通信 增长 量 的 实际 操作 方法 。 

具体 步骤 包括 : 

e。 分 析 产 生 流 量 的 应 用 特点 和 分 布 情况 ， 因 而 需要 搞 清 楚 现 有 应 用 和 新 应 用 的 用 户 组 和 
数据 存储 方式 ; 

e。 将 网 络 划分 成 易于 管理 的 大 干 区 域 ， 这 种 划分 往往 与 网 络 的 管理 等 级 结构 是 一 致 的 ; 

e。 在 网 络 结构 图 上 标注 出 工作 组 和 数据 存储 方式 的 情况 , 定性 分 析出 网 络 流量 的 分 布 
情况 ; 

e。 辨别 出 网 络 逻 辑 边 界 和 物理 边界 ， 进 而 找 出 易于 进行 管理 的 域 。 网 络 逻 辑 边 界 能 够 根 
据 使 用 一 个 或 一 组 特定 的 应 用 程序 的 用 户 群 来 区 分 ， 或 者 根据 虚拟 局 域 网 确定 的 工作 
组 来 区 分 。 网 络 物理 边界 可 通过 逐个 连接 来 确定 一 个 物理 工作 组 ， 通 过 网 络 边界 可 以 
很 容易 地 分 割 网 络 。 

分 析 网 络 通信 流量 特征 包括 辨别 网 络 通信 的 源 点 和 目的 地 ， 并 分 析 源 点 和 目的 地 之 间 数 据 
传输 的 方向 和 对 称 性 。 在 茶 些 应 用 中 ， 流 量 是 双 同 对 称 的 ;而 在 某 些 应 用 中 ， 却 不 具有 这 些 特 
征 。 例 如 ， 客 户 机 发 送 少量 的 租 询 数据 ， 而 服务 器 则 发 送 大 量 的 数据 ;在 广播 式 应 用 中 ， 流 量 
是 单 回 非 对 称 的 。 
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在 分 析 网 络 流量 的 最 后 ， 还 需要 对 现 有 网 络 流量 进行 测量 : 一 种 是 主动 式 的 测量 ， 通 过 主 
动 发 送 测试 分 组 序列 测量 网 络 行为 ， 另 一 种 是 被 动 式 的 测量 ， 通 过 被 动 俘获 流 经 测试 点 的 分 组 
测量 网 络 行为 。 通 信 流 量 的 种 类 包括 客户 机 /服务 器 方式 《CS) 、 对 等 方式 (P2P) 、 分 布 式 计 
算 方 式 等 。 佑 算 的 通信 和 负载 一 般 包 含 应 用 的 性 质 、 每 次 通信 的 通信 量 、 传 输 对 象 大 小 、 并 发 数 
量 、 每 天 各 种 应 用 的 使 用 频 度 等 。 


3.2.5 “安全 需求 分 析 


满足 基本 的 安全 要 求 是 网 络 成 功 运行 的 必要 条 件 ， 在 此 基础 上 提供 强 有 力 的 安全 保障 ， 是 
网 络 系统 安全 的 重要 原则 。 网 络 内 部 部 普 了 众多 的 网 络 设备 、 服 务 器 ， 保 护 这 些 设备 的 正常 运 
行 ， 维 护 主 要 业务 系统 的 安全 ， 是 网 络 的 基本 安全 需求 。 对 于 各 种 各 样 的 网 络 攻 击 ， 如 何在 提 
供 灵 活 且 高 效 的 网 络 通信 及 信息 服务 的 同时 ， 抵 御 和 发 现 网 络 攻击 并 且 提供 跟踪 攻击 的 手段 是 
网 络 基本 的 安全 要 求 ， 主 要 表现 为 以 下 几 种 情况 : 

。 网 络 正 贡 运行 ， 在 受到 攻击 的 情况 下 ， 能 够 保证 网 络 系统 继续 运行 

。 ”网络 管理 /网 络 部 车 的 资料 不 被 久 取 ， 

。 有 具备 先进 的 入 侵 检 训 及 跟踪 体系 ; 

。 提供 灵活 而 高 效 的 内 外 通信 服务 。 

与 普通 网 络 应 用 不 同 的 是 ， 应 用 系统 是 网 络 功 能 的 核心 。 对 于 应 用 系统 应 该 具有 最 高 的 网 
络 安全 措施 。 应 用 系统 的 安全 体系 应 包括 以 下 内 容 : 

。 访问 控制 ， 通 过 对 特定 网 段 、 服 务 建 立 的 访问 控制 体系 ， 将 绝 大 多 数 攻 击 阻 止 在 到 达 

攻击 目标 之 前 。 

。 检 碍 安全 漏 筒 ， 通 过 对 安全 漏洞 的 周期 检查 ， 即 使 攻击 可 到 达 攻 击 目标 ， 也 可 使 绝 大 

多 数 攻击 无 效 。 
e。 攻击 监控 , 通过 对 特定 网 段 、 服 务 建 立 的 攻击 监控 体系 , 可 实时 检测 出 绝 大 多 数 攻击 ， 
并 采取 相应 的 行动 〈 如 断 开 网 络 连接 、 记 录 攻 击 过 程 、 跟 踪 攻 击 源 等 ) 。 

。 加密 通 信 ， 主 动 的 加 密 通 信和 可 使 攻击 者 不 能 了 解 、 修 改 敏感 信息 。 

e。 认证 ， 民 好 的 认证 体系 可 防止 攻击 者 假冒 合法 用 户 。 

。 备份 和 恢复 ， 民 好 的 备份 和 恢复 机 制 可 在 攻击 造成 损失 时 ， 尽 快 地 恢复 数据 和 系统 服务 。 

。 多 层 防 御 ， 攻 击 者 在 突破 第 一 道 防线 后 延缓 或 阻 断 其 到 达 攻 击 目标 。 

。 隐藏 内 部 信息 ， 使 攻击 者 不 能 了 解 系统 内 的 基本 情况 。 

。 设立 安全 监控 中 心 ， 为 信息 系统 提供 安全 体系 管理 、 监 控 、 维 护 以 及 紧急 情况 服务 平 

台 安 全 的 需求 。 

网 络 平 台 将 支持 多 种 应 用 系统 ， 对 于 每 种 系统 均 在 不 同 程度 要 求 充 分 考虑 平台 安全 与 平台 
性 能 和 功能 的 关系 。 通 常 ， 系 统 安 全 与 性 能 和 功能 是 一 对 矛盾 的 关系 。 如 果 某 个 系统 不 向 外 界 
提供 任何 服务 〈 断 开 ) ， 外 界 是 不 可 能 对 其 构成 安全 威胁 的 。 但 是 ， 若 要 提供 更 多 的 服务 ， 将 
网 络 建 成 一 个 开放 的 网 络 环境 ， 各 种 安全 问题 ， 包 括 系统 级 的 安全 问题 也 会 随 之 产生 。 
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3.2.6 ”网 络 容 灾 分 析 


容 灾 技 术 是 系统 的 高 可 用 性 技术 的 组 成 部 分 ， 容 灾 系 统 更 加 强调 处 理 外 界 环 境 对 系统 的 影 
响 ， 特 别 是 灾难 性 事件 对 整个 IT 节点 的 影响 ,提供 节点 级 别 的 系统 恢复 功能 。 根 据 容 灾 系 统 对 
灾难 的 抵抗 程度 ， 可 分 为 数据 容 灾 和 应 用 容 灾 。 数 据 容 灾 是 指 建立 一 个 异地 的 数据 系统 ， 该 系 
统 对 本 地 系统 关键 应 用 数据 实时 复制 。 当 出 现 灾难 时 ， 可 由 异地 系统 迅速 接替 本 地 系统 而 保证 
业务 的 连续 性 。 应 用 容 灾 比 数据 容 灾 层 次 更 高 ， 即 在 异地 建立 一 套 完整 的 、 与 本 地 数据 系统 相 
当 的 备份 应 用 系统 〈 可 以 同 本 地 应 用 系统 互 为 备份 ， 也 可 与 本 地 应 用 系统 共同 工作 ) 。 在 灾难 
出 现 后 ， 远 程 应 用 系统 迅速 接管 或 承担 本 地 应 用 系统 的 业务 运行 。 设 计 一 个 容 灾 备 份 系统 ， 需 
要 考虑 多 方面 的 因素 ， 如 备份 /恢复 数据 量 大 小 、 应 用 数据 中 心 和 备 援 数据 中 心 之 间 的 距离 和 数 
据 传输 方式 、 灾 难 发 生 时 所 要 求 的 恢复 速度 、 备 援 中 心 的 管理 及 投入 资金 等 。 根 据 这 些 因 素 和 
不 同 的 应 用 场合 ， 通 常 可 将 容 灾 备份 分 为 4 个 等 级 。 

第 0 级 : 没有 备 援 中 心 。 这 一 级 容 灾 备 份 ， 实 际 上 没有 灾难 恢复 能 力 ， 它 只 在 本 地 进行 数 
据 备份 ， 并 且 被 备份 的 数据 只 在 本 地 保存 ， 没 有 送 往 异 地 。 

第 1 级 ; 本 地 磁带 备份 ， 异 地 保存 。 在 本 地 将 关键 数据 备份 ， 然 后 送 到 异地 保存 。 灾 难 发 
生 后 ， 按 预定 数据 恢复 程序 ， 恢 复 系统 和 数据 。 这 种 方案 成 本 低 、 易 于 配置 。 但 当 数 据 量 增 大 
时 ， 存 在 存储 介质 难 管理 的 问题 ， 并 且 当 灾难 发 生 时 存在 大 量 数据 难以 及 时 恢复 的 问题 。 为 了 
解决 此 问题 ， 灾 难 发 生 时 ， 先 恢复 关键 数据 ， 后 恢复 非 关 键 数据 。 

第 2 级 :; 热 备份 站 点 备份 。 在 异地 建立 一 个 热 备 份 点 ， 通 过 网 络 进行 数据 备份 。 也 就 是 通 
过 网 络 以 同步 或 异步 方式 ， 把 主 站 点 的 数据 备份 到 备份 站 点 。 备 份 站 点 一 般 只 备份 数据 ， 不 承 
担 业 务 。 当 出 现 灾难 时 ， 备 份 站 点 接替 主 站 点 的 业务 ， 从 而 维护 业务 运行 的 连续 性 。 

第 3 级 ; 活动 备 援 中 心 。 在 相隔 较 远 的 地 方 分 别 建立 两 个 数据 中 心 ， 它 们 都 处 于 工作 状 
态 ， 并 进行 相互 数据 备份 。 当 某 个 数据 中 心 发 生 灾难 时 ， 另 一 个 数据 中 心 接替 其 工作 任务 。 
这 种 级 别 的 备份 根据 实际 要 求 和 投入 资金 的 多 少 ， 又 可 分 为 两 种 : 一 是 两 个 数据 中 心 之 间 只 
限于 关键 数据 的 相互 备份 ， 二 是 两 个 数据 中 心 之 间 互 为 镜像 ， 即 零 数 据 丢 失 。 零 数据 丢失 是 
目前 要 求 最 高 的 一 种 容 灾 备 份 方式 ， 它 要 求 不 管 什么 灾难 发 生 ， 系 统 都 能 保证 数据 的 安全 。 
所 以 ， 它 需要 配置 复杂 的 管理 软件 和 专用 的 硬件 设备 ， 需 要 的 投资 相对 而 言 是 最 大 的 ， 但 恢 
复 速度 也 是 最 快 的 。 

3.2.7 ”需求 说 明 书 

通过 需求 收集 工作 ， 网 络 设计 人 员 会 获取 大 量 的 需求 信息 ， 这 些 信 息 由 各 种 独立 的 表格 、 
散乱 的 文字 以 及 部 分 统计 数据 等 构成 ， 这 些 需求 信息 应 整合 形成 正式 的 需求 说 明 书 ， 以 便于 后 
期 设计 、 实 施 、 维 护 工作 开展 。 需 求 说 明 书 是 网 络 设计 过 程 中 第 一 个 正式 的 可 以 传阅 的 重要 文 
件 ， 其 目的 在 于 对 收集 到 的 需求 信息 做 清晰 地 概括 整理 。 
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1. 数据 准备 


数据 准备 工作 是 开始 需求 说 明 书 编制 的 前 期 工作 ， 主 要 由 两 个 步骤 构成 : 

。 第 一 步 是 将 原始 数据 制 成 表 ， 从 各 个 表 看 其 内 在 的 联系 及 模式 ; 

。 第 二 步 是 把 大 量 的 手写 调查 问卷 或 表格 信息 转换 成 电子 表格 或 数据 库 。 

另外 ， 对 于 需求 收集 阶段 产生 的 各 种 资料 ， 包 括 手 册 、 报 表 、 原 始 单据 等 ， 都 应 该 编辑 目 
录 并 归档 ， 便 于 后 期 查阅 。 


2. 需求 说 明 书 的 组 成 
编写 需求 说 明 书 是 为 了 能 够 癌 管 理 人 员 提 供 决策 用 的 信息 ， 因 此 说 明 书 应 该 尽量 简明 并 且 


信息 充分 ， 以 节省 管理 人 员 的 时 间 。 对 网 络 需 求 说 明 书 ， 存 在 两 点 要 求 : 
(1) 无 论 需 求 说 明 书 的 组 织 形 式 如 何 ， 都 应 包含 业务 、 有 用户、 应用、 计算 机 平台 、 网 络 等 


五 个 方面 的 需求 内 容 。 
(2) 为 了 规范 需求 说 明 书 的 编制 ， 一 般 情 况 下 ， 需 求 说 明 书 应 该 包括 以 下 5 个 部 分 : 
J 综述 。 


需求 说 明 书 的 第 一 部 分 内 容 是 综述 ， 应 包括 的 内 容 如 下 : 

e。 对 项 目的 简单 概述 ; 

e。 设计 过 程 中 各 个 阶段 的 清单 ; 

e。 项 目 各 个 阶段 的 状态 ， 包 括 已 完成 的 阶段 和 现在 正在 进行 的 阶段 。 

@) 需求 分 析 阶 段 总 结 。 

需求 分 析 阶 段 总 结 主 要 是 总 结 需 求 分 析 阶 段 的 工作 ， 总 结 内 容 包括 : 

e。 接触 过 的 群体 和 代表 人 和 名单 

e。 标明 收集 信息 的 方法 〈 访 谈 、 集 中 访谈 、 调 查 等 ) ; 

e 访谈 、 调 徊 总 次 数 ; 

e。 取得 的 原始 资料 数量 《调查 问卷 、 报 表 等 ) ; 

e。 在 调 碍 工作 中 遇 到 的 各 种 困难 等 。 

G@) 需求 数据 总 结 。 

对 从 需求 调查 中 获取 的 数据 ， 需 要 认真 总 结 并 归纳 出 信息 ， 并 通过 多 种 形式 进行 展现 。 在 
对 笛 求 数据 进行 总 结 时 ， 应 注意 以 下 几 点 : 

e。 简单 直接 。 提 供 的 总 结 信 息 应 该 简单 易 懂 ， 重 点 放 在 整体 框架 上 ， 多 使 用 行业 术语 。 

e。 说 明 来 源 和 优先 级 。 对 需求 进行 分 类 ， 并 明确 各 类 需求 的 具体 来 源 。 

。 尽量 多 用 图 片 。 在 需求 数据 总 结 中 大 量 使 用 图 片 ， 尤 其 是 数据 表格 的 图 形 化 展示 。 

e。 指出 允 夺 的 需求 。 对 这 些 巴 盾 的 需求 进行 说 明 ， 以 使 设计 人 员 找 到 解决 方法 。 

网 按 优 先 级 排队 的 需求 清单 。 

对 再 求 数据 进行 整理 总 结 之 后 ， 按 照 需求 数据 的 重要 性 列 出 数据 的 优先 级 别 清 单 。 
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@ 申请 批准 部 分 。 
在 编写 需求 说 明 书 时 ， 需 要 预 留 大 量 对 需求 进行 确认 或 者 申请 批准 的 内 容 ， 确 切 地 说 ， 怠 
是 要 预 留 大 量 用 户 管理 人 员 签 字 的 空间 。 


3. 修改 需求 说 明 书 


由 于 需求 经 名 发 生变 化 ， 在 编写 需求 说 明 书 时 也 要 考虑 怎样 设计 修改 说 明 书 。 如 果 的 确 需 
要 修改 ， 最 好 不 要 改变 原来 的 数据 和 信息 ， 可 以 考虑 在 需求 说 明 书 中 附加 一 部 分 内 容 ， 说 明 修 
改 的 原因 ， 解 释 管理 层 的 决定 ， 然 后 给 出 最 终 的 需求 说 明 。 


3.3 ”通信 规范 分 析 


在 网 络 的 分 析 和 设计 过 程 中 ， 通 信 规 范 分 析 处 于 第 二 个 阶段 ， 通 过 分 析 网 络 通信 流量 和 通 
信 模 式 ， 发 现 可 能 导致 网 络 运行 瓶 锋 的 关键 技术 点 ， 从 而 在 设计 工作 中 避免 这 种 情况 的 发 生 。 

通信 规范 分 析 工 作 中 对 通信 流量 的 大 小 和 通信 模式 的 佑 调和 分 析 ， 为 逻辑 设计 阶段 提供 了 
重要 的 设计 依据 。 由 于 网 络 的 复杂 性 ， 通 信 规 范 分 析 的 成 果 必 然 多 许 存 在 一 定 误差 ， 但 是 这 些 
成 果 依 然 可 以 为 设计 工作 读 来 很 大 的 便利 ， 避 免 设 计 工 作 的 盲目 性 。 


3.3.1 通信 模式 分 析 


在 计算 机 网 络 中 ， 通 信和 是 通信 模式 和 通信 量 的 组 合 。 应 用 软件 按照 网 络 处 理 模 型 可 分 为 单 
机 软件 、 对 等 网 络 软件 、C/S 软件 、B/S 软件 、 分 布 式 软件 ， 而 这 些 应 用 对 于 网 络 设计 来 说 ， 
其 数据 的 网 络 传递 模 陈 就 是 通信 模式 。 

网 络 中 每 个 网 络 节点 工作 在 何 种 模式 下 ， 主 要 取决 于 网 络 资源 、 贡 点 和 应 用 程序 的 分 布 ， 
大 多 数 时 候 ， 网 络 节 扣 会 同时 工作 在 多 种 模式 下 。 例 如 ， 一 人 台 工 作 站 既 需 要 和 同 工 作 组 的 计算 
机 进行 对 等 通信 ， 同 时 ， 由 于 安装 了 C/S 软件 ， 又 需要 和 服务 器 之 间 进 行 通信 。 

通信 模式 基本 与 应 用 软件 的 网 络 处 理 模 型 相同 ， 分 为 四 种 。 


1. 对 等 通信 模式 


对 等 通信 模式 指 相似 计算 机 节点 间 的 通信 , 在 这 种 模式 中 , 参与 的 网 络 节 点 都 是 平等 角色 ， 
既是 服务 的 提供 者 ， 也 是 服务 的 享受 者 。 在 对 等 通信 模式 中 ， 流 量 通 和 是 双 回 对 称 的 。 对 等 通 
信 模 却 的 最 大 用 途 在 于 局 域 网 段 中 ， 计 算 机 都 被 配置 成 为 对 等 方式 ， 不 需要 借助 于 中 心服 务 器 
来 完成 通信 ;另外 ， 随 看 QQ、BT、 视 频 会 议 等 基于 互联 网 的 P2P 应 用 的 推广 ， 对 等 通信 模式 
开始 突破 局 域 网 络 ， 并 开始 对 网 络 产生 巨大 的 影 啊 。 

在 对 等 通信 模式 中 ， 每 个 节点 都 有 可 能 与 网 络 中 的 其 他 节点 建立 连接 或 者 发 送 数据 、 进 行 
数据 传递 ， 但 是 在 进行 通信 规范 分 析 时 ， 可 以 把 每 个 节点 都 抽象 成 一 个 双 同 的 输入 输出 流 ， 该 
流 的 输入 和 输出 六 量 一 致 。 
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2. 客户 机 -服务 器 通信 模式 


客户 机 -服务 器 通信 模式 (ClientServer，C/S ) 是 指 在 网 络 中 存在 一 个 服务 器 和 多 个 客户 机 ， 
由 服务 器 负责 进行 应 用 计算 ， 由 客户 机 进行 用 户 交 互 的 通信 模式 ， 这 也 是 目前 应 用 最 为 广泛 的 
一 种 通信 方式 。 

客户 机 -服务 需 通 信 模 陈 对 客 己 机、 服务 器 的 选 型 并 没有 严格 限制 ， 应 根据 应 用 需要 进行 
选择 ; 与 对 等 通信 的 随机 模式 不 同 的 是 ,客户 机 -服务 髓 通信 模式 有 其 方 癌 性 ,通信 流 癌 取决 于 
各 个 客户 机 使 用 的 应 用 程序 类 型 。 

在 客户 机 -服务 右 通 信和 模式 中 ， 信 息 流 量 以 双 回 非 对 称 的 方式 流动 ， 因 此 可 以 分 解 成 客户 
机 至 服务 礁 和 服务 硕 全 客户 机 两 个 信息 流 癌 ， 在 不 同 的 应 用 中 ， 这 两 个 流 同 的 通信 流量 是 不 同 
的 ， 所 以 要 分 开 进 行 计算 。 


3. 浏览 器 -服务 器 通信 模式 


浏览 器 -服务 器 通信 模式 〈Brower'Server，B/S) 是 三 层 模 式 与 四 层 模 式 的 典型 代表 ， 
现 是 通过 客户 端的 浏览 器 ， 应 用 服务 器 负责 业务 轴 辑 ， 数 据 库 服 务 器 完成 数据 存储 、 计 算 、 
理 和 检索 。 在 浏览 句 - 服 务 右 通信 模式 中 ， we ee 
务 如 和 数据 库 服务 右 之 间 的 通信 。 

浏览 器 -服务 器 通信 模式 较为 特殊 ， 可 以 将 应 用 服务 器 与 客户 机 之 间 的 通信 看 成 是 一 个 典 
型 的 C/S 通信 模式 , 而 将 应 用 服务 器 与 数据 库 服务 器 之 间 的 通信 看 成 是 一 个 只 有 一 台 客 户 机 (应 
用 服务 器 被 看 成 客户 机 ) 的 C/S 通信 模式 。 应 用 服务 才 与 客户 机 之 间 的 通信 ， 一 般 情 况 下 属于 
“服务 器 至 客户 机 流量 大 ”类 型 ， 而 应 用 服务 器 与 数据 库 服 务 器 之 间 的 通信 ， 一 般 属 于 “ 双 回 
流量 大 ”类 型 。 


4. 分 布 式 计 算 通 信 模 式 


分 布 式 计算 是 指 多 个 计算 节点 协同 工作 来 完成 一 项 共同 任务 的 应 用 ， 在 解决 分 布 式 应 用 ， 
提高 性 能 价格 比 ， 提 供 共 享 资源 的 实用 性 、 容 错 性 以 及 可 伸缩 性 方面 有 看 巨大 的 发 展 淤 力 。 

分 布 式 计 算 的 通信 流量 特征 比较 复杂 ,一 般 情 况 下 系统 中 存在 少量 任务 管理 入 点 和 大 量 计 
算 节 点 。 对 于 有 些 系统 来 说 ， 任 务 管理 节点 很 少 明确 告 诉 计算 节点 应 当做 什么 ， 因 此 通信 流量 
很 少 ， 而 有 些 系统 的 任务 管理 节点 及 计算 节点 却 很 楷 忙 。 由 于 任务 管理 节点 根据 当前 资源 的 可 
用 性 及 特定 的 资源 分 配 策略 分 配 任务 ， 这 使 得 通信 流量 难以 预测 。 


3.3.2 通信 边界 分 析 
网 络 设计 者 必须 清楚 网 络 中 的 各 种 通信 边界 ， 这 些 边界 当前 主要 以 三 种 形式 存在 : 一 种 是 
局 域 网 络 中 的 通信 边界 ， 二 是 广域网 络 中 的 通信 边界 ， 三 是 虚拟 专用 网 络 的 通信 边界 。 


在 网 络 设计 中 ， 通 过 对 通信 边界 的 分 析 ， 有 助 于 设计 人 员 找 出 网 络 中 的 关键 点 ， 因 为 通 癌 
情况 下 ， 通 信 的 边界 都 是 故障 易 发 位 置 。 
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1. 局 域 网 通信 边界 


局 域 网 的 通信 边界 主要 是 网 络 中 的 冲突 域 和 广播 域 ， 在 局 域 网 络 建设 中 ， 主 要 通过 划分 冲 
突 域 和 广播 域 来 限制 通信 量 。 

在 网 络 中 划分 广播 域 可 以 采用 两 种 方法 : 一 种 方法 是 采用 交换 机 上 提供 的 虚拟 局 域 网 
(CVLAN) 技术 ; 另外 一 种 方法 是 采用 路 由 需 连 接 多 个 交换 机 形成 的 广播 域 。 

VLAN 技术 结合 三 层 交 换 技 术 是 当前 建设 园区 网 络 的 主流 方式 , 局 域 网 内 部 的 多 台 交 换 设 备 
划分 为 多 个 VLAN， 多 个 VLAN 之 间 通 过 带 有 路 由 功能 的 三 层 交 换 设 备 互 连 ， 如 图 3-12 所 示 。 


图 3-12 ”多 个 广播 域 划 分 


为 了 建立 隔离 的 广播 域 ， 必 须 在 第 三 层 对 网 络 进行 网 段 划 分 ， 三 层 交 换 设 备 或 路 由 器 有 效 
地 将 币 规 网 络 通信 和 广播 式 网 络 通信 限制 在 每 个 网 段 内 ， 只 引导 网 段 间 的 通信 ， 从 而 提高 了 整 
个 网 络 的 有 效 厨 吐 能 

由 于 VLAN 物理 的 交换 设备 中 , 可 以 同时 存在 多 个 相互 之 间 隅 离 的 多 辑 广 播 域 , 所 以 广播 
域 边 界 可 以 采用 物理 边界 和 逻辑 边界 两 种 方式 。 

(1) 广播 域 物理 边界 。 

广播 域 的 边界 是 局 域 网 广播 报 文 可 以 传递 到 的 边界 , 通 第 情况 下 是 网 络 设备 的 问 口 或 者 网 
卡 。 在 传统 局 域 网 中 ， 划 分 广播 域 边 界 的 设备 是 路 由 邵 ， 一 般 情 况 下 ， 路 由 大 的 一 个 闯 口 吏 是 
一 个 独立 的 物理 广播 域 。 通 过 路 由 器 ， 可 以 较为 请 晰 地 完成 广播 域 的 物理 边界 划分 ， 并 且 可 
以 真正 隔离 网 络 广 播 风 骏 产 生 的 网 络 拥塞 。 

在 进行 通信 规范 分 析 时 ， 如 采用 物理 边界 ， 则 各 广播 域 的 负载 是 独立 的 ， 不 会 产生 有 登 加 效 
应 ， 广 播 风 暴 效应 也 不 会 相互 影响 ， 但 是 网 络 管理 工作 量 较 大 。 

〈2) 三 播 域 逻辑 边界 。 

在 现代 交换 却 局 域 网 中 ，VLAN 技术 对 来 目 于 不 同 广 播 域 的 数据 帧 进行 数据 封 朔 ， 在 一 套 
交换 设备 中 进行 存储 转发 时 ， 相 互 之 间 不 会 产生 影响 ， 因 此 可 以 实现 多 个 虚拟 广播 域 在 一 套 物 
理 交 换 设备 中 的 共存 。VLAN 的 划分 有 基于 设备 端口 、 物 理 地 址 、 网 络 地 址 、 策 略 等 多 种 方式 ， 
所 以 广播 域 的 划分 不 再 是 静态 的 ， 而 是 动态 变化 的 ; 另外 ， 由 于 多 个 VLAN 的 共存 关系 ， 一 个 
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VLAN 的 广播 帧 虽然 不 会 传播 至 其 他 VLAN,， 但 由 于 共用 交换 设备 , 所 有 VLAN 需要 共享 交换 
设备 的 交换 容量 ， 所 以 当 一 个 VLAN 产生 广播 风暴 导致 亦 换 设备 阻塞 时 ， 也 会 对 其 他 VLAN 
产生 间接 影 啊 。 

基于 网 络 设备 痛 口 的 VLAN 划分 方式 是 应 用 最 广 、 最 易于 管理 的 方式 ， 这 种 方式 划分 的 广 
播 域 是 静态 的 ， 因 此 在 网 络 设计 中 ,除非 有 特殊 的 用 户 需 求 ， 否 则 都 采用 这 种 方式 划分 广播 域 。 
在 进行 通信 规范 分 析 时 ， 应 以 基于 端口 的 划分 方式 为 分 析 依 据 ， 分 析 广 播 域 的 负载 是 如 何 登 加 
全 网 络 设备 的 。 

图 3-13 就 是 一 个 典型 的 广播 域 罗 辑 边 界 划 分 ， 采 用 基于 端口 的 划分 方式 ， 广 播 域 的 
边界 是 交换 机 上 划 归 VLAN 的 端口 ， 局域网 中 的 核心 交换 机 承载 看 多 个 VLAN 的 通信 和 负 
载 ， 是 所 有 VLAN 通信 流 的 总 和 ， 而 汇聚 交换 机 则 根据 承载 的 广播 域内 节点 数量 不 同 而 
不 同 。 


辑 边 界 


图 3-13 ”广播 域 逻 
通过 两 种 通信 边界 的 分 析 ， 可 以 看 出 其 对 通信 规范 分 析 工 作 的 影 啊 是 不 一 样 的 。 
2. 广域网 通信 边界 


传统 的 广域网 是 由 通信 线路 所 形成 的 点 对 点 网 络 ， 在 这 些 单纯 的 点 对 点 网 络 中 ， 由 于 点 对 
点 线路 的 通信 都 是 独立 并 且 有 通信 服务 质量 保障 的 ， 所 以 并 不 存在 通信 边界 问题 。 但 是 随 独 网 
络 规模 的 不 断 发 展 , 广域网 络 的 情况 越 来 越 复杂 , 路 由 规划 则 成 为 广域网 流量 负载 分 布 的 关键 。 
广域网 的 通信 边界 ， 主 要 由 路 由 的 自治 区 域 、 路 由 协议 中 的 域 、 各 局 域 网 构成 。 

1) 路 由 算法 区 域 

内 部 网 关 协 议 中 应 用 较 广 的 路 由 协议 是 OSPF， 该 协议 适用 于 网 络 规模 较 大 的 路 由 自治 区 
域 ， 需 要 将 自治 区 域内 的 网 络 划分 为 多 个 域 。 域 的 划分 方式 是 将 所 有 运行 OSPF 的 路 由 器 人 为 
地 分 成 不 同 的 组 ， 以 区 域 ID 来 标示 。 在 OSPF 中 , 路 由 域 存在 骨干 域 ( 即 0 号 域 ) 和 非 骨 干 域 ， 
其 中 连接 不 同 域 的 路 由 器 即 路 由 域 的 边界 ， 被 称 为 区 域 边界 路 由 器 。 
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2) 局 域 网 

自治 区 域内 部 的 粒度 最 小 的 区 域 就 是 一 个 局 域 网 络 。 在 现代 网 络 中 ， 这 种 局 域 网 络 不 会 是 
一 个 广播 域 ， 而 是 通过 内 部 路 由 设备 互 连 起 来 的 多 个 广播 域 。 这 种 网 络 属 于 自治 区 域 ， 但 是 与 
其 他 局 域 网 络 存在 明显 的 边界 路 由 器 ， 该 局 域 网 的 网 络 地 址 在 经 过 边界 路 由 器 对 外 时 会 宣布 为 
一 个 网 段 ， 而 在 内 部 则 由 内 部 设备 宣布 为 多 个 子 网 段 。 因 此 ， 局 域 网 络 的 边界 路 由 器 在 不 由 路 
由 协议 划分 区 域 的 情况 下 ， 吏 是 局 域 网 的 通信 边界 。 

通过 以 上 的 分 析 ， 可 以 看 出 广域网 络 中 的 各 种 通信 边界 全 部 是 由 各 种 路 由 喜来 实现 的 ， 图 
3-14 是 一 个 由 各 种 路 由 器 承担 通信 边界 的 示意 图 ， 而 图 中 的 上 自治 区 域 边界 路 由 器 、 区 域 边界 路 
由 堪 、 局 域 网 边界 路 由 需 都 是 广域网 的 通信 边界 ， 在 进行 通信 规范 分 析 时 ， 应 针对 这 些 边界 设 
备 进 行 仔细 的 流量 分 析 。 


目 治 区 域 
边界 路 由 天 


自治 
区 域 


IGP 协 议 
为 OSPF 


人 


局 域 网 局域网 


图 3-14 广域网 中 的 各 种 边界 路 由 需 
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3. 虚拟 专用 网 络 通信 边界 


实现 VPN 的 协议 分 为 三 种 : 第 一 种 是 工作 于 第 二 层 数据 链 路 层 的 L2TP 等 隧道 协议 ; 第 二 
种 是 工作 于 第 三 层 网 络 层 的 PSec、GRE 等 隧道 协议 ;第 三 种 是 依据 标签 封装 机 制 而 形成 的 
MPLSVPN 技术 。 无 论 是 哪 种 技术 ， 者 采用 图 3-15 的 网 络 淤 构 。 


C-Network 


图 3-1$ VPN 网 络 结构 


图 中 CE (Customer Edge ) 是 直接 与 服务 提供 商 相 连 的 用 户 设备 ; PE (Provider Edge Router ) 
指骨 干 网 上 的 边缘 路 由 器 ， 与 CE 相连 ， 主 要 负责 VPN 业务 的 接 入 ; 了 (Provider Router) 指 
骨干 网 上 的 核心 路 由 器 ， 主 要 完成 路 由 和 快速 转发 功能 。 由 于 网 络 规模 不 同 ， 网 络 中 可 能 不 存 
在 P 路 由 器 ，PE 路 由 器 也 可 能 同时 是 P 路 由 器 。 

无 论 在 设计 广域网 络 的 VPN 时 采用 哪 种 技术 ， 无 论 形成 VPN 的 结构 是 点 对 点 
(Point-to-Point) 还 是 中 心 辐 射 状 〈Hub-and-Spoke) ， 都 会 存在 CE 和 PE 路 由 器 ， 而 PE 路 由 
绒 加 是 VPN 的 通信 边界 ， 在 进行 VPN 通信 规范 分 析 时 ， 主 要 是 统计 各 CE 之 间 的 流量 形成 对 
PE 设备 的 传输 容量 要 求 ， 需 要 注意 的 是 这 些 通信 流量 在 计算 时 需要 考虑 加 密 算法 、 标 签 封 装 所 
产生 的 额外 传输 容量 要 求 。 


3.3.3 ”通信 流量 分 析 


1. 通信 流量 分 布 分 析 的 简单 规则 


在 通信 规范 分 析 中 ， 最 终 的 目标 是 产生 通信 量 ， 需 要 依据 需求 分 析 的 结果 来 产生 单个 信息 
流量 的 大 小 ,依据 通信 模式 、 通 信 边 界 的 分 析 ， 明 确 不 同 信息 流 在 网 络 不 同 区 域 、 边 界 的 分 布 ， 
从 而 获得 区 域 、 边 界 上 的 总 信息 流量 。 

对 于 部 分 较为 简单 的 网 络 ， 可 以 不 需要 进行 复杂 的 通信 流量 分 布 分 析 ， 仅 采用 一 些 简 单 的 
方法 ， 例 如 80/20 规则 、20/80 规则 等 ， 但 是 对 于 复杂 的 网 络 ， 仍 必须 进行 复杂 的 通信 流量 分 布 
分 析 。 
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1) 80/20 规则 

80/20 规则 是 传统 网 络 中 广泛 应 用 的 一 般 规 则 。80/20 规则 是 基于 这 样 的 可 能 性 : 在 一 个 网 
段 中 ， 通 信 流 量 的 80% 在 该 网 段 中 流动 ， 只 有 20% 的 通信 流量 访问 其 他 网 段 。 

利用 80/20 规则 进行 通信 流量 分 布 分 析 的 思路 是 : 对 一 个 网 段 内 部 的 通信 流量 ， 不 进行 严 
格 的 分 布 分 析 , 仅仅 根据 用 户 和 应 用 需求 的 统计 , 产生 网 段 内 的 通信 和 总 量 大 小 , 认为 总 量 的 80%4 
是 在 网 段 内 部 的 流量 ， 而 20% 是 对 网 段 外 部 的 流量 。 

80/20 规则 适用 于 内 部 交流 较 多 、 外 部 访问 相对 较 少 、 网 络 较为 简单 、 不 存在 特殊 应 用 的 
网 络 或 网 段 。 

2) 20/80 规则 

随 着 互联 网 络 的 发 展 , 一 些 特 殊 的 网 络 不 断 产生 , 例如 小 区 内 计算 机 用 户 形成 的 局 域 网 络 、 
大 型 公司 用 于 实现 远程 协同 工作 的 工作 组 网 络 等 。 这 些 网 络 的 特征 是 : 网 段 的 内 部 用 户 之 间 相 
互 访问 较 少 ， 大 多 数 对 网 络 的 访问 都 是 对 网 段 外 的 资源 进行 访问 。 对 于 这 些 流 量 分布 恰 好 位 于 
另 一 个 极端 的 网 络 或 网 段 ， 可 以 采用 20/80 规则 。 

利用 20/80 规则 进行 通信 流量 分 布 分 析 的 思路 是 : 根据 用 户 和 应 用 需求 的 统计 ， 产 生 网 段 
内 的 通信 息 量 大 小 ， 认 为 总 量 的 20% 是 在 网 段 内 部 的 流量 ， 而 80% 是 对 网 段 外 部 的 流量 。 

需要 注意 的 是 ， 虽 然 80/20 规则 和 20/80 规则 很 简单 ， 但 是 这 些 规则 是 建立 在 大 量 的 工程 
经 验 基础 上 的 。 通 过 这 些 规 则 的 应 用 ， 可 以 很 快 完 成 一 个 复杂 网 络 中 大 多 数 网 段 的 通信 流量 分 
析 工 作 ， 可 以 合理 减少 大 型 网 络 中 的 设计 工作 量 。 


2. 通信 流量 分 析 的 步 又 


对 于 复杂 的 网 络 ， 需 要 进行 复杂 的 通信 流量 分 机。 通信 流量 分 析 从 对 本 地 网 段 上 和 对 网 络 
骨干 东 个 特定 部 分 的 通信 量 进行 估算 开始 ， 可 采用 如 下 步骤 。 

(1) 把 网 络 分 成 易 管 理 的 网 段 。 

在 通信 流量 分 析 的 过 程 中 ， 肯 要 任务 是 依据 需求 分 析 阶 段 的 网 络 需求 、 分 段 需 求 、 工 程 经 
验 将 网 络 工程 划分 成 看 干 个 物理 或 者 逻辑 网 段 , 并 进行 编号 , 同时 选择 适当 的 广域网 拓扑 结构 ， 
最 终 形 成 相应 的 各 类 网 络 边界 ， 然 后 ， 从 估算 每 个 网 段 的 通信 和 模式、 通信 容量 开始 ， 分 析 在 这 
些 部 分 之 间 通 信 信 息 的 流动 方式 ， 最 后 才 产 生 通 信 流 量 。 

网 段 划 分 时 需要 根据 用 户 的 需求 ， 对 于 升级 的 网 络 ， 可 以 对 现 有 网 段 划分 方式 进行 改进 ， 
形成 新 的 划分 方案 ， 对 于 新 建 网 络 ， 则 是 和 网 络 管理 员 一 起 商量 网 段 划分 方式 。 一 般 情 况 下 ， 
是 按照 工作 组 或 部 门 来 划分 网 段 ， 因 为 相同 工作 组 或 部 门 中 的 人 们 通 币 使 用 相同 的 应 用 程序 ， 
并 且 具 有 相同 的 基本 需求 。 

由 于 网 段 主要 属于 局 域 网 络 范畴 ， 在 进行 分 析 工 作 前 ， 需 要 确定 网 段 的 局 域 网 通信 边界 ; 
如 条 网 段 的 通信 边界 是 物理 边界 ， 则 这 个 网 段 是 需要 独立 进行 分 析 的 ;而 如 果 多 个 网 段 的 通信 
边界 是 逻辑 边 界 ， 则 这 些 网 段 不 需要 独立 进行 分 析 ， 而 是 作为 一 个 整体 网 段 来 进行 分 析 。 

2) 确定 个 人 用 户 和 网 段 应 用 的 通信 流量 。 

在 通信 流量 分 析 中 ， 第 二 步 是 复查 需求 说 明 书 中 的 业务 需求 、 用 户 需求 、 应 用 需求 、 网 络 
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需求 部 分 的 内 容 ， 并 根据 通信 流量 的 分 析 进 行 再 次 确定 。 在 需求 收集 阶段 ， 已 经 通过 用 己 营 握 
对 各 种 应 用 程序 的 估算 使 用 量 ， 其 中 反映 流量 的 主要 是 应 用 需求 和 网 络 需求 ， 但 是 这 些 佑 算 使 
用 量 不 仅仅 包含 网 络 流量 ， 夯 外 也 没有 根据 通信 模式 进行 流量 分 布 分 析 。 本 步骤 的 工作 在 于 ， 
将 需求 分 析 中 不 同 格式 的 统计 表格 再 次 确认 后 ， 根 据 通信 模式 ， 转 化 为 统一 的 流量 表格 ， 以 便 
于 开始 后 续 的 分 析 工 作 。 

3) 确定 本 地 和 远程 网 段 上 的 通信 流量 分 布 。 

在 第 一 步 确 定 网 段 、 第 二 步 确定 单个 应 用 的 通信 流量 后 ， 确 定 本 地 和 远程 网 段 上 的 通信 流 
量 分 布 是 分 析 工 作 的 第 三 步 。 该 步骤 的 重要 任务 是 明确 多 少 通信 流量 存在 于 网 络 内 部 ， 而 多 少 
通信 流量 是 访问 其 他 网 段 的 。 

由 于 不 同 的 设计 人 员 采 用 的 需求 分 析 方 式 和 表格 不 同 ， 其 计算 的 方法 也 不 同 ， 但 是 都 可 以 
获取 网 络 层 流 量 。 例 如 ， 有 些 设计 人 员 喜 欢 用 在 线 用 户 数量 、 每 个 在 线 用 户 的 平均 流量 来 进行 
计算 ， 有 些 设 计 人 员 喜 欢 用 应 用 的 用 户 每 秒 事 务 量 和 事务 量 大 小 来 计算 流量 ;还 有 些 设计 人 员 
会 考虑 峰值 情况 ， 并 以 峰值 速率 作为 设计 依据 ， 以 避免 网 络 在 峰值 时 段 出 现 拥 赛 。 

(4) 对 每 个 网 段 重 复 上 述 步骤 。 

对 每 个 网 段 重 复 上 述 步 又 ， 其 中 个 人 应 用 收集 的 信息 是 每 一 个 应 用 和 网 段 都 要 用 到 的 ; 然 
后 ， 确 定 每 一 个 本 地 网 段 的 通信 流量 以 及 该 网 段 对 整个 广域网 和 网 络 骨 干 的 通信 流量 。 

(5) 分 析 基 于 各 网 段 信 息 的 广域网 和 网 络 骨 干 的 通信 流量 。 

通过 对 每 个 网 段 的 分 析 ， 除 了 形成 各 网 段 目 身 的 通信 要 求 外 ， 还 可 以 形成 与 本 网 段 有 关 的 
广域网 、 骨 干 网 的 通信 要 求 。 不 同 的 网 络 工 程 中 ， 用 户 对 广域网 拓扑 结构 的 要 求 和 建议 不 同 ， 
即使 拓扑 相同 ， 信 息 的 路 由 不 同 ， 对 网 络 设备 的 要 求 是 不 同 的。 因此 对 广域网 和 网 络 肯 干 的 通 
信 流 量 分 析 必 须 参 考 用 户 意见 ， 并 且 应 当做 到 灵活 机 动 。 

(6) 输出 通信 流量 计算 。 

通信 流量 计算 完成 后 ， 要 把 它们 整理 总 结 成 一 份 文 件 ， 该 文件 将 成 为 最 终 的 通信 规范 说 明 
书 中 的 一 部 分 。 同 时 ， 用 这 些 新 的 信息 来 提高 当前 馆 辑 网 络 图 的 质量 ， 标 明 广 播 域 、 神 突 域 和 
子 网 的 边界 。 如 果 通 过 通信 流量 计算 ， 表 现 出 了 定 问 通信 模式 ， 也 应 在 图 上 标 出 。 


3. 网 络 基准 


除了 通过 收集 用 户 信息 并 计算 通信 流量 的 方法 ， 还 存在 更 为 精确 的 基于 通信 流量 的 计算 
法 ， 即 基准 法 。 基 准 法 是 通过 训 量 一 个 网 络 的 容量 和 效率 来 衡量 网 络 性 能 要 求 的 方法 。 通 过 网 
络 的 测试 数据 , 可 以 发 现 网 络 中 存在 的 问题 , 也 可 以 把 握 网 络 发 展 趋 势 对 网 络 性 能 珊 来 的 影 啊 。 
对 于 升级 的 网 络 工 程 ， 基 准 法 可 符 代 通信 流量 计算 法 作为 设计 依据 ， 也 可 以 配合 使 用 ， 对 于 新 
建 的 网 络 工 程 ， 可 以 使 用 基准 法 中 的 仿真 机 制 ， 作 为 设计 工作 的 验证 机 制 。 

网 络 基 准 是 对 网 络 活动 和 行为 的 测试 , 通过 对 网 络 行为 进行 提前 的 预测 , 实现 周期 性 测 量 ， 
并 形成 一 系列 的 参数 指标 。 例 如 ， 监 测 到 高 带宽 应 用 时 ， 应 该 在 每 个 独立 的 网 段 、 广 域 网 链 路 
以 及 网 络 上 骨干 链 路 上 运行 独立 的 测试 , 获取 基准 测试 指标 值 ,这样 就 构成 了 整个 网 络 的 基准 集 。 

采用 基准 法 测量 需要 专门 的 监视 器 设备 和 应 用 软件 。Sniffer 是 当前 比较 流行 的 网 络 分 析 工 
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具 ， 该 类 产品 较 多 ， 产 品 的 形式 既 可 以 是 软件 也 可 以 是 硬件 ， 并 且 互 联网 上 存在 大 量 的 开源 自 
由 软件 ， 应 用 较 广 。 只 要 条 件 允 许 ， 最 好 能 同时 使 用 估算 法 和 基准 法 。 

基准 测量 的 结果 是 输出 一 个 包含 图 表 的 基准 报表 ,这些 图 表 随 时 间 的 推移 记录 了 每 个 网 段 
的 操作 参数 。 除 此 之 外 ， 该 报表 还 应 该 包括 对 异常 情况 和 未 来 趋势 的 总 结 ， 对 核心 资源 的 利用 
率 以 及 对 报警 闪 值 设置 和 监控 的 建议 。 
3.3.4 通信 规范 说 明 书 

通信 规范 说 明 书 包含 了 估 测 的 或 实测 的 网 络 通信 容量 以 及 大 量 的 统计 表格 ， 是 记录 准确 归 
纳 和 分 析 现 存 网 络 得 到 的 结果 ， 并 根据 该 结果 和 需求 说 明 书 提出 网 络 设计 建议 方案 。 通 信 规 范 
说 明 书 记录 了 网 络 当前 的 状态 ， 包 括 网 络 的 配置 、 网 络 互 联 设备 水 平 以 及 共享 资源 的 利用 率 。 

通信 规范 说 明 书 中 ， 应 尽量 通过 图 表 形式 向 用 户 展现 实测 结果 ， 在 重点 内 容 处 进行 突出 显 
示 ， 并 加 入 相应 的 说 明文 字 ， 此 外 ， 应 尽量 避免 使 用 技术 术语 ， 应 该 尽量 使 用 非 专 业 语 言 来 解 
释 专 业 的 词汇 。 

通信 规范 说 明 书 由 下 面 的 主要 内 容 组 成 。 

1. 执行 情况 概述 

在 执行 情况 概述 中 ， 为 了 让 网 络 管理 员 清楚 地 了 解 进程 的 核心 部 分 ， 此 部 分 应 该 包含 下 列 
各 项 内 容 : 对 项 目的 简单 概述 ， 设 计 过 程 中 各 个 阶段 的 清单 ， 项 目 各 个 阶段 的 状态 ， 包 括 已 完 
成 的 阶段 和 现在 正在 进行 的 阶段 。 

2. 分 析 阶 段 概述 


分 析 阶 段 主要 描述 如 何 收集 信息 和 收集 信息 的 时 间 ， 对 于 产生 的 信息 ， 需 要 明确 信息 产生 
的 方式 ， 明 确 是 佑 测 信息 还 是 实测 信息 。 由 于 该 文档 是 针对 网 络 设 计 人 员 和 网 络 管理 员 编写 的 ， 
使 用 的 语言 应 该 是 非 专 业 人 员 能 理解 的 描述 性 语言 。 


3. 分 析 数 据 总 结 
数据 总 结 是 通信 规范 说 明 书 的 核心 ， 它 同 需求 说 明 书 中 的 数据 总 结 一 样 重要 。 为 准确 展示 


当前 网 络 的 功能 ， 通 信 规 范 说 明 书 应 包括 下 述 内 容 : 逻辑 网 络 岁 、 通 信 流 量 候 测 “当前 的 和 将 
来 的 ) 、 基 准 测量 结果 、CPU 利用 率 统 计 结 果 。 


4. 设计 目标 建议 


通信 规范 说 明 书 应 总 结 出 网 络 设计 的 目标 。 为 使 新 的 网 络 满 足 需求 分 析 ， 应 在 设计 目标 中 
说 明 哪 些 是 必须 被 纠正 的 问题 ， 哪 些 是 必须 添加 的 新 功能 。 


S. 申请 批准 部 分 


在 逻辑 设计 阶段 之 前 ， 通 信 规 范 说 明 书 必须 已 经 通过 了 经 理 或 核心 成 员 组 的 批准 和 签 
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字 。 该 说 明 书 的 批准 意味 痢 管 理 部 门 认为 通信 规范 说 明 书 是 真实 的 ， 同 意 迪 辑 设计 列 出 的 
各 项 目标 。 


6. 修改 说 明 书 


因为 通信 规范 说 明 书 是 基于 现 有 网 络 这 一 客观 事实 或 者 是 对 高 可 靠 性 的 估 测 ， 所 以 管理 部 
门 对 这 些 数据 不 可 能 有 太 大 的 争议 。 但 是 ， 在 所 有 重要 负责 人 完全 达成 一 致 之 前 ， 可 能 需要 修 
改 一 些 地 方 。 要 修改 或 添加 茶 个 目标 时 ， 应 该 加 上 注释 ， 解 释 为 什么 要 修改 或 添加 这 个 目标 。 


3.4” 远 辑 网 络 设计 


网 络 的 逻辑 络 构 设计 ， 来 和 目 于 用 户 需 求 中 描述 的 网 络 行为 、 性 能 等 要 求 ， 逻 辑 设 计 要 根据 
网 络 用 户 的 分 类 、 分 布 ， 选 择 特定 的 技术 ， 形 成 特定 的 网 络 结构 ， 该 网 络 结构 大 致 描述 了 设备 
的 互 连 及 分 布 ， 但 是 不 对 具体 的 物理 位 置 和 运行 环境 进行 确定 。 


3.4.1 网 络 结构 设计 


传统 意义 上 的 网 络 拓扑 , 是 将 网 络 中 的 设备 和 节点 描述 成 点 , 将 网 络 线 路 和 链 路 描述 成 线 ， 
用 于 研究 网 络 的 方法 。 随 大 网 络 的 不 断 发 展 ， 单 纯 的 网 络 拓扑 结构 已 经 无 法 全 面 描述 网 络 。 在 
逻辑 网 络 设 计 中 ， 网 络 结构 的 概念 正在 取代 网 络 拓扑 结构 的 概念 ， 成 为 网 络 设计 的 框架 。 

网 络 络 构 是 对 网 络 进行 逻辑 抽象 ， 描 述 网 络 中 主要 连接 设备 和 网 络 计 算 机 节点 分 布 而 形 
成 的 网 络 主体 框 殿 。 网 络 结构 与 网 络 拓扑 结构 的 最 大 区 别 在 于 : 网 络 拓扑 结构 中 ， 只 有 点 和 
线 ， 不 会 出 现任 何 的 设备 和 计算 机 节点 ;网 络 结构 主要 是 描述 连接 设备 和 计算 机 节点 的 连接 
关系 。 

由 于 当前 的 网 络 工程 主要 由 局 域 网 和 实现 局 域 网 互 连 的 广域网 构成 , 因此 可 以 将 网 络 工程 
中 的 网 络 结构 设计 分 成 局 域 网 结构 和 广域网 结构 两 个 设计 部 分 的 内 容 ， 其 中 局 域 网 结构 主要 讨 
论 数据 链 路 层 的 设备 互 连 方式 ， 广 域 网 结构 主要 讨论 网 络 层 的 设备 互 连 方式 。 


1 局域网 结构 


当前 的 局 域 网 络 与 传统 意义 上 的 局 域 网 络 已 经 发 生 了 很 多 变化 ,传统 意义 上 的 局 域 网 络 只 
具备 二 层 通 信 功 能 ， 而 现代 意义 上 的 局 域 网 络 不 仅 具 有 二 层 通 信 功 能 ， 同 时 具有 三 层 其 至 多 层 
通信 的 功能 。 现 代 局 域 网 络 ， 从 某 种 意义 上 说 ， 应 称 为 园区 网 络 更 为 合适 。 

以 下 是 在 进行 局 域 网 络 设计 时 ， 和 常见 的 局 域 网 络 结构 。 

1) 单 核心 局 域 网 结构 

单 核心 局 域 网 结构 主要 由 一 人 台 核 心 二 层 或 三 层 交 换 设备 构建 局 域 网 络 的 核心 ,通过 多 人 台 接 
入 交换 机 接 入 计算 机 节点 ， 该 网 络 一 般 通 过 与 核心 交换 机 互 连 的 路 由 设备 〈 路 由 器 或 防火 墙 ) 
接 入 广域网 中 。 典 型 的 单 核心 局 域 网 结构 如 图 3-16 所 示 。 
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局 域 网 核心 交换 机 


图 3-16” 单 核心 局 域 网 结构 


单 核心 局 域 网 结构 具有 以 下 特点 : 

e。 ”核心 交换 设备 在 实现 上 多 采用 二 层 、 三 层 交 换 机 或 多 层 交 换 机 ; 

e。 如 采用 三 层 或 多 层 设 备 , 可 以 划分 成 多 个 VLAN, VLAN 内 只 进行 数据 链 路 层 帧 转发 ; 

e。 网 络 内 各 VLAN 之 间 访 问 需要 经 过 核心 交换 设备 , 并 只 能 通过 网 络 层 数据 包 转 发 方式 实现 ; 

e。 网络 中 除 核心 交换 设备 之 外 ， 不 存在 其 他 的 带 三 层 路 由 功能 的 设备 ; 

e。 核心 交换 设备 与 各 VLAN 设备 间 可 以 采用 10M/100M/1000M 以 太 网 连接 。 

e。 ”市 省 设备 投资 ; 

e。 网 络 结构 简单 ; 

e。 部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 访 问 效率 高 ; 

e。 在 核心 交换 设备 端口 富余 的 前 提 下 ， 部 门 网 络 接 入 较为 方便 ; 

e。 网络 地 理 范 围 小 ， 要 求 部 门 网 络 分 布 比较 紧凑 ; 

e。 核心 交换 机 是 网 络 的 故障 单 点 ， 容 易 导 致 整 网 失效 ; 

e。 网 络 扩展 能 力 有 限 ; 

e。 ”对 核心 交换 设备 的 端口 密度 要 求 较 高 ; 

e。 除非 规模 较 小 的 网 络 ， 否 则 推荐 桌面 用 户 不 直接 与 核心 交换 设备 相连 ， 也 吉 是 核心 交 

换 机 与 用 户 计 算 机 之 间 应 存在 接 入 交换 机 。 

2) 双核 心 局 域 网 结构 

双核 心 局 域 网 结构 主要 由 两 台 核 心 交 换 设 备 构建 局 域 网 核心 ， 该 网 络 一 般 也 是 通过 与 核心 
交换 机 互 连 的 路 由 设备 接 入 广域网 ， 并 且 路 由 堪 与 两 台 核 心 交 换 设备 之 间 都 存在 物理 链 路 。 和 典 
型 的 双核 心 局 域 网 结构 如 图 3-17 所 示 。 
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图 3-17 ”双核 心 局 域 网 结构 


双核 心 局 域 网 结构 具有 以 下 特点 : 

e。 ”核心 交换 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交 换 机 ; 

e。 网 络 内 各 VLAN 之 间 访 问 需要 经 过 两 台 核 心 交 换 设备 中 的 一 人 台 ; 

e。 网 络 中 除 核心 交换 设备 之 外 ， 不 存在 其 他 的 具备 路 由 功能 的 设备 ; 

e。 核心 交换 设备 之 间 运 行 特 定 的 网 关 保护 或 负载 均衡 协议 ， 例 如 HSRP、VRRP、GLBP 等 ; 
e。 核心 交换 设备 与 各 VLAN 设备 间 可 以 采用 10M/100MV1000M 以 太 网 连接 ; 

e。 网 络 拓扑 结构 可 和 伟 ; 

e。 路 由 层面 可 以 时 间 无 颖 热切 换 ; 

e。 部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 有 多 条 路 径 选 择 ， 可 靠 性 更 高 ; 

e。 在 核心 交换 设备 端口 富余 的 前 提 下 ， 部 门 网 络 接 入 较为 方便 ; 

e。 设备 投资 比 单 核心 局 域 网 结构 高 ; 

e。 对 核心 路 由 设备 的 端口 密度 要 求 较 高 ; 

e。 核心 交换 设备 和 果 面 计算 机 之 间 ， 存 在 接 入 交换 设备 ， 接 入 交换 设备 同时 和 双核 心 存 


在 物理 连接 ; 
。 ”所 有 服务 需 都 直接 同时 连接 全 两 全 核心 交换 机 ， 借 助 于 网 关 保 护 协议 ， 实 现 和 更 面 用 户 
对 服务 需 的 高 速 访问 。 


3) 环 型 局 域 网 结构 

环 型 局 域 网 结构 由 多 人 台 核 心 三 层 设备 连接 成 双 RPR 动态 弹性 分 组 环 ， 来 构建 整个 局 域 网 
络 的 核心 ， 该 网 络 通过 与 环 上 交换 设备 互 连 的 路 由 设备 接 入 广域网 络 。 典 型 的 环 型 局 域 网 结构 
如 图 3-18 所 示 。 
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图 3-18 ” 环 型 局 域 网 结构 


环 型 局 域 网 结构 具有 以 下 特点 : 

e。 核心 交换 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交 换 机 ; 

e。 网 络 内 各 VLAN 之 间 访 问 需要 经 过 RPR 环 ; 

e。 RPR 技术 能 提供 MAC 层 的 SO0ms 目 愈 时 间 ， 能 提供 多 等 级 、 可 靠 的 QoS 服务 ; 

e。 RPR 有 目 合 保护 功能 ， 节 省 光纤 资源 ; 

e。 ”RPR 协议 中 没有 提 及 相交 环 、 相 切 环 等 组 网 结构 ， 当 利用 RPR 组 建 大 型 城 域 网 时 ， 
多 环 之 间 只 能 利用 业务 接口 进行 互通 ， 不 能 实现 网 络 的 直接 互通 ， 因 此 它 的 组 网 能 力 
相对 SDH、MSTP 较 弱 ; 

e。 由 两 根 反 回 光 纤 组 成 环 型 拓扑 结构 ， 其 中 一 根 顺 时 针 ， 一 根 逆 时 针 ， 节 点 在 环 上 可 从 
两 个 方向 到 达 另 一 节点 ， 每 根 光 纤 可 以 同时 用 来 传输 数据 和 同 回 控制 信号 ，RPR 环 双 
回 可用; 

e。 利用 空间 重用 技术 实现 的 空间 重用 ， 使 环 上 的 市 宽 得 到 更 为 有 效 的 利用 ，RPR 技术 具 
有 空间 复 用 、 环 自 愈 保护 、 自 动 拓 扑 识别 、 多 等 级 QoS 服务 、 带 宽 公 平 机 制 和 拥塞 控 
制 机 制 、 物 理 层 介质 独立 等 技术 特点 ; 

e。 设备 投资 比 单 核心 局 域 网 结构 高 ; 

e。 核心 路 由 宛 余 设计 实施 难度 较 高 ， 容 易 形 成 路 由 环 路 。 

4) 层次 局 域 网 结构 

层次 局 域 网 结构 主要 定义 了 根据 功能 要 求 不 同 将 局 域 网 络 划分 层次 构建 的 方式 ， 从 功能 上 
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定义 为 核心 层 、 汇 聚 层 、 接 入 层 。 层 次 局 域 网 一 般 通 过 与 核心 层 设备 互 连 的 路 由 设备 接 入 广 域 
网 络 。 和 典型 的 层次 局 域 网 结构 如 图 3-19 所 示 。 


服务 器 


局 域 网 核心 交换 机 1 人 -S> 朋 人 S> 则 局域网 核心 交换 机 2 


局 域 网 汇聚 交换 机 ES-> 


图 3-19 ”层次 局 域 网 结构 


层次 局 域 网 结构 具有 以 下 特 扣 : 

。 核心 层 实 现 高 速 数据 转发 ; 

e。 汇聚 层 实 现 丰富 的 接口 和 接 入 层 之 间 的 互 访 控制 ; 
。 接 入 层 实现 用 户 接 入 ; 

。 网络 拓 扑 结构 故障 定位 可 分 级 ， 便 于 维护 ; 

。 网 络 功能 清晰 ， 有 利于 发 挥 设备 最 大 效率 ; 

。 网络 拓扑 利于 扩展 。 


2. 广域网 结构 


在 大 多 数 网 络 工程 中 , 会 利用 广域网 实现 多 个 局 域 网 络 的 互 连 , 形成 整个 网 络 的 网 络 结构 。 
在 以 下 各 广域网 结构 分 析 中 ， 没 有 在 局 域 网 与 广域网 之 间 定 义 其 他 路 由 设备 ， 但 是 在 设计 与 实 
施 时 ， 可 以 根据 需要 添加 特定 的 接 入 路 由 器 或 防火 墙 设备 。 在 局 域 网 络 规模 较为 复杂 时 ， 可 以 
添加 接 入 路 由 器 ;在 局 域 网 络 有 安全 需要 时 ， 可 以 添加 防火 墙 。 
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1) 单 核心 广域网 结构 
单 核心 广域网 结构 主要 由 一 台 核 心路 由 设备 互 连 各 局 域 网 络 。 典 型 的 单 核心 广域网 结构 如 
图 3-20 所 示 。 
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图 3-20” 单 核 心 广域网 结构 


单 核心 广域网 结构 具有 以 下 特点 : 

e。 核心 路 由 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交 换 机 ; 

e。 网络 内 各 局 域 网 络 之 间 访 问 需要 经 过 核心 路 由 设备 ; 

e。 网 络 中 除 核心 路 由 设备 之 外 ， 不 存在 其 他 路 由 设备 ; 

e。 各 部 门 局 域 网 至 核心 路 由 设备 之 间 不 采用 点 对 点 线路 ， 而 采用 广播 线路 ， 路 由 设备 与 

部 门 局 域 网 络 互 连 的 接口 属于 该 局 域 网 ; 

e。 核心 路 由 设备 与 各 局 域 网 间 可 以 采用 10M/100M/V1000M 以 太 网 连接 ; 

e。 贡 省 设备 投资 ; 

e。 网 络 结构 简单 ; 

e。 部门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 访 问 效率 高 ; 

e。 在 核心 路 由 设备 端口 富余 的 前 提 下 ， 部 门 网 络 接 入 较为 方便 ; 

e。 核心 路 由 器 是 网 络 的 故障 单 点 ， 容 易 导 致 整 网 失效 ; 

e。 网络 扩 展 能 力 有 限 ; 

e。 ”对 核心 路 由 设备 的 端口 密度 要 求 较 高 。 

2) 双核 心 广域网 结构 

双核 心 广域网 结构 主要 由 两 台 核 心路 由 设备 构建 框架 ， 并 互 连 各 局 域 网 。 典 型 的 双核 心 广 
域 网 结构 如 几 3-21 所 示 。 
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图 3-21 双核 心 广域网 结构 


双核 心 广 域 网 结构 具有 以 下 特点 : 

e 核心 路 由 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交 换 机 ; 

e。 网 络 内 各 局 域 网 络 之 间 访 问 需要 经 过 两 台 核 心路 由 设备 中 的 一 台 ; 

e。 网 络 中 除 核心 路 由 设备 之 外 ， 不 存在 其 他 的 路 由 设备 ; 

e。 核心 路 由 设备 之 间 运 行 特定 的 网 关 保 护 或 负载 均衡 协议 ， 例 如 HSRP、VRRP、GLBP 

和 

e。 核心 路 由 设备 与 各 局 域 网 间 可 以 采用 10M/100MV1000M 以 太 网 连接 ; 

e。 网 络 拓扑 结构 可 靠 ; 

e。 路 由 层面 可 以 时 间 无 颖 热切 换 ; 

e。 部 门 局域网 络 访问 核心 局 域 网 以 及 相互 之 间 有 多 条 路 径 选 择 ， 可 靠 性 更 高 ; 

e。 在 核心 路 由 设备 端口 富余 的 前 提 下 ， 部 门 网 络 接 入 较为 方便 ; 

e。 设备 投资 比 单 核心 广域网 结构 高 ; 

e。 ”对 核心 路 由 设备 的 端口 密度 要 求 较 高 。 

3) 环 型 广域网 结构 

环 型 广域网 结构 主要 定义 了 由 三 台 以 上 核心 路 由 设备 构成 路 由 环 路 ,连接 各 局 域 网 并 构建 
广域网 的 方式 。 在 环 型 广域网 结构 中 ， 任 意 核心 路 由 器 都 和 其 他 两 台 路 由 设备 之 间 有 连接 。 典 
型 的 环 型 广域网 结构 如 图 3-22 所 示 。 
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图 3-22 ” 环 型 广域网 结构 


环 型 广域网 结构 具有 以 下 特点 : 

e。 核心 路 由 设备 在 实现 上 多 采用 三 层 交 换 机 或 多 层 交 换 机 ; 

e。 网 络 内 各 局 域 网 络 之 间 访 问 需要 经 过 核心 路 由 设备 构成 的 环 ; 

e。 网络 中 除 核心 路 由 设备 之 外 ， 不 存在 其 他 的 路 由 设备 ; 

e。 核心 路 由 设备 之 间 运 行 特定 的 网 关 保 护 或 负载 均衡 协议 ， 例 如 HSRP、VRRP、GLBP 
等 ， 或 具备 环 路 控制 功能 协议 ， 例 如 OSPF、RIP 等 ; 

e。 核心 路 由 设备 与 各 局 域 网 间 可 以 采用 10M/100MV1000M 以 太 网 连接 ; 

e 网络 拓 扑 结 构 可 靠 ; 

e。 路 由 层面 可 以 时 间 无 颖 热切 换 ; 

e。 部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 有 多 条 路 径 选 择 ， 可 靠 性 更 遍 ; 

e。 在 核心 路 由 设备 端口 富余 的 前 提 下 ， 部 门 网 络 接 入 较为 方便 ; 

e。 设备 投资 比 双核 心 广域网 结构 高 ; 

e。 核心 路 由 器 路 由 元 余 设 计 实 施 难 度 较 高 ， 容 易 形 成 路 由 环 路 ; 

e。 对 核心 路 由 设备 的 端口 密度 要 求 较 遍 ; 

e。 环 拓扑 占用 较 多 的 端口 。 

4) 半 宛 余 广 域 网 结构 

半 宛 余 广域网 结构 主要 定义 了 由 多 人 台 核心 路 由 设备 连接 各 局 域 网 并 构建 广域网 络 的 方式 。 
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在 半 宛 余 广域网 结构 中 ， 任 意 核心 路 由 器 存在 至 少 两 条 链接 至 其 他 路 由 设备 。 如 果 核 心路 由 器 
和 任何 其 他 路 由 器 都 有 链接 ， 就 是 半 宛 余 广域网 结构 的 特例 一 全 宛 余 广 域 网 结构 。 与 型 的 半 
宛 余 广域网 结构 如 图 3-23 所 示 。 
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图 3-23” 半 苑 余 广 域 网 结构 


半 元 余 广 域 网 结构 具有 以 下 特点 : 

e。 半 元 余 网 络 结构 灵活 ， 方 便 扩 展 ; 

e。 部 分 网 络 可 以 采用 特定 的 网 关 保 护 或 负载 均衡 协议 ， 例 如 HSRP、VRRP、GLBP 等 ， 

或 具备 环 路 控制 功能 协议 ， 例 如 OSPF、RIP 等 ; 

e。 网络 拓扑 结构 相对 可 靠 ， 呈 网 状 ; 

e。 路 由 层面 路 径 选 择 比较 灵活 ， 可 以 有 多 条 备 选 路 径 ; 

e。 部 门 局 域 网 络 访问 核心 局 域 网 以 及 相互 之 间 有 多 条 路 径 选 择 ， 可 靠 性 高 ; 

e。 网 络 结构 零散 ， 管 理 和 故障 排除 不 太 方便 ; 

e。 该 网 络 结构 适合 部 署 OSPF 等 链 路 状态 路 由 协议 。 

5$) 对 等 子 域 广域网 结构 

对 等 子 域 广域网 结构 是 指 将 广域网 的 路 由 器 划分 成 两 个 独立 的 子 域 ， 每 个 子 域内 路 由 器 采 
用 半 元 余 方 式 互 连 。 对 等 子 域 广域网 结构 中 ， 两 个 子 域 间 通过 一 条 或 多 条 链 路 互 连 。 对 等 子 域 
广域网 结构 中 ， 任 何 路 由 器 都 可 以 接 入 局 域 网 络 。 典 型 的 对 等 子 域 广域网 结构 如 图 3-24 所 示 。 
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图 3-24 ”对 等 子 域 广域网 结构 


对 等 子 域 广域网 结构 具有 以 下 特点 : 

e。 ”对 等 子 域 之 间 的 互 访 以 对 等 子 域 之 间 的 互 连 线路 为 主 : 

e。 对 等 子 域 之 间 可 以 做 到 路 由 汇总 或 明细 路 由 条 目 匹 配 ， 路 由 控制 灵活 ; 

e。 了 和子 域 间 链 路 带宽 应 高 于 子 域内 链 路 带宽 ; 

e。 了 子 域 间 路 由 元 余 设 计 实 施 难 度 较 高 ， 容 易 形 成 路 由 环 路 或 上 友 布 非法 路 由 的 问题 ; 

e。 对 用 于 子 域 互 访 的 域 边界 路 由 设备 的 路 由 性 能 要 求 较 高 ; 

e。 路 由 协议 的 选择 主要 以 动态 路 由 协议 为 主 ; 

e。 ”对 等 子 域 适合 于 广域网 络 可 以 明显 划分 为 两 个 区 域 ， 并 且 区 域内 部 访问 较为 独立 的 情况 。 

6) 层次 子 域 广域网 结构 

层次 子 域 广域网 结构 将 大 型 广域网 路 由 设备 划分 为 多 个 较为 独立 的 子 域 ， 每 个 子 域内 路 由 
器 采用 半 宛 余 方 式 互 连 。 层 次 子 域 广域网 结构 中 ， 多 个 子 域 之 间 存 在 层次 关系 ， 高 层 子 域 连接 
多 个 低层 子 域 。 层 次 子 域 广域网 结构 中 ， 任 何 路 由 器 都 可 以 接 入 局 域 网 络 。 典 型 的 层次 子 域 广 
域 网 结构 如 图 3-25 所 示 。 
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图 3-25 ”层次 子 域 广域网 结构 


层次 子 域 广域网 结构 具有 以 下 特 点 : 


3.4.2 


低层 子 域 之 间 的 互 访 应 通过 高 层 子 域 完 成 ; 

层次 子 域 广 域 网 结构 具有 较 好 的 扩展 性 ; 

子 域 间 链 路 带宽 应 高 于 子 域 内 链 路 市 宽 ; 

子 域 间 路 由 元 余 设计 实施 难度 较 高 ， 容 易 形 成 路 由 环 路 或 发 布 非法 路 由 的 问题 ; 

对 用 于 子 域 互 访 的 域 边界 路 由 设备 的 路 由 性 能 要 求 较 高 ; 

路 由 协议 的 选择 主要 以 动态 路 由 协议 为 主 ， 尤 其 适用 于 OSPF 协议 ; 

层次 子 域 广域网 结构 与 上 层 外 网 互 连 主要 借助 于 高 层 子 域 完 成 ， 与 下 层 外 网 互 连 主要 
借助 于 低层 子 域 完 成 。 


局 域 网 技术 选择 


1. 虚拟 局 域 网 设计 


虚拟 局 域 网 (VLAN ) 基本 上 可 以 看 作 是 一 个 广播 域 ， 是 根据 逻辑 位 置 而 非 物 理 位 置 划 
分 的 一 组 客户 工作 站 的 集合 ， 这 些 工作 站 不 在 同一 个 物理 网 络 中 ， 但 可 以 像 在 一 个 普通 局 
域 网 上 那样 进行 通信 和 信息 交换 。VLAN 是 局 域 网 建设 中 的 重要 内 容 ， 围 绕 VLAN 的 主要 
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设计 内 容 包括 : 
e。 VLAN 划分 方法 ; 
e。 VLAN 划分 方案 ; 
e。 VLAN 跨 设备 互 连 ; 
e。 VLAN 间 路 由 。 


2. 无 线 局 域 网 设计 


无 线 局 域 网 C(WLAN) 以 其 灵活 性 而 广泛 流行 。 促 进 WLAN 发 展 的 主要 原因 在 于 其 灵活 
性 以 及 对 用 户 服务 的 提升 ， 比 有 线 网 络 更 节约 成 本 。 无 论 用 户 在 哪里 ， 只 要 无 线 信 号 可 达 的 地 
方 ，WLAN 都 可 以 让 用 户 访问 网 络 资源 。 现 在 越 来 越 多 的 企业 、 机 构 意 识 到 WLAN 灵活 性 带 
来 的 好 处 ， 正 在 大 量 部 署 WLAN。 除 了 灵活 性 ，WLAN 的 另 一 个 优势 在 于 ， 有些 地 方 部 署 有 
线 LAN 的 成 本 较 高 ， 而 部 普 WLAN 的 成 本 却 很 低 。 

进行 无 线 局 域 网 设计 具体 包括 以 下 几 个 步骤 : 了 解 用 户 需 求 、 确 定 相应 的 组 网 方式 、 无 线 
设备 选 型 、 无 线 网 络 设 计 、 无 线 网 络 安全 以 及 无 线 网 络 管理 等 。 

1) 组 网 方式 

WLAN 由 无 线 接 入 点 〈Access Point，AP) 和 无 线 客 户 问 设 备 组 成 。 无 线 AP 在 无 线 客户 
应 设备 和 有 线 网 络 之 间 提 供 连 通 性 。 无 线 客 户 闫 设备 一 般 需 要 配备 无 线 网 卡 〈Wireless Network 
Interface Card，WNIC) ， 设 备 使 用 WNIC 进行 通信 ， 根 据 组 网 方式 不 同 ， 可 能 是 无 线 客户 端 
设备 之 间 通 信 ， 或 者 无 线 客 户 端 设备 与 无 线 AP 进行 通信 。 

WLAN 组 网 一 般 采 用 单元 结构 ,整个 系统 被 分 割 成 许多 个 单元 ,， 每 个 单元 称 为 基本 服务 组 
(Basic Service Set，BSS) 。BSS 的 组 成 有 以 下 3 种 方式 : 独立 BSS、 有 AP 的 BSS 和 扩展 BSS。 

2) WLAN 通信 原理 

WLAN 中 传输 的 帧 分 成 以 下 几 类 : 

e。 数据 帧 : 网 络 业务 数 据 。 

e。 控制 帧 : 使 用 请 求 发 送 、 清 除 发 送 和 确认 信号 控制 对 介质 的 访问 ， 类 似 于 调制 解 调 需 

的 模拟 连接 控制 机 制 。 

e。 管理 帧 : 类 似 于 数据 帧 ， 与 当前 无 线 传输 的 控制 有 关 。 

其 中 只 有 数据 帧 与 以 太 网 的 802.3 帧 相似 ， 但 以 太 网 帧 的 大 小 不 能 超过 1518B， 而 无 线 网 
帧 的 大 小 可 以 达到 2346B。 

无 线 站 点 可 以 通过 两 种 方法 选择 AP 进行 数据 帧 转发 : 第 一 种 方法 是 让 无 线 站 点 主动 发 送 
探测 帧 扫描 网 络 以 寻找 AP， 这 种 方法 称 为 主动 扫描 ; 第 二 种 方法 是 让 AP 定期 发 送 一 个 宣告 目 
己 能 力 的 信 标 帧 ， 这 些 能 力 包括 该 AP 支持 的 数据 率 ， 这 种 方法 称 为 被 动 扫描 。 

3) WLAN 设计 注意 事项 

设计 WLAN 需要 考虑 如 下 事项 。 
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(1) 站 点 测量 。 

为 了 最 小 化 信道 干扰 ， 同 时 最 大 化 履 盖 范围 ， 应 该 进行 查勘 ， 确 定 最 理想 的 AP 部 署 。 信 
道 履 盖 的 重 登 会 使 得 性 能 受到 影响 ， 从 而 使 无 线 客户 端 和 AP 之 间 不 能 保持 持续 的 连通 性 。 因 
此 必须 进行 站 点 测量 、AP 部 闭 和 信道 规划 。 进 行 站 点 测量 时 要 考虑 如 下 问题 ; 

e。 ， 哪 一 种 无 线 网 络 更 适合 企业 应 用 。 

e。 ”在 天 线 之 间 是 否 存在 可 视 距 离 的 要 求 。 

e。 为 了 使 AP 尽 可 能 地 和 伟 近 客户 端 设 备 ， 应 该 把 AP 部 署 在 哪里 。 

e。 建筑 物 里 存在 哪些 潜在 的 干扰 源 。 例 如 ， 无 绳 电话 、 微 波 炉 、 天 然 的 干扰 或 者 使 用 相 

同 信道 的 访问 点 。 

e。 在 部 署 时 需要 考虑 法 律 法 规 限 制 。 

(2) WLAN 漫游 。 

WLAN 与 有 线 网 络 相 比 的 最 大 优势 承 是 便于 客户 端 设备 自由 移动 。 前 面 已 经 介绍 过 ,吞吐 
量 与 到 AP 的 距离 有 关 ， 因 此 设置 AP 时 还 要 考虑 用 户 的 漫游 范围 。 此 外 ， 当 一 个 用 户 离开 AP 
时 信和 号 强度 会 减弱 ， 此 时 连接 应 该 无 颖 地 跳 到 另 一 个 有 较 强 信号 的 AP。 

(3) 点 到 点 网 桥 。 

通 营 两 个 建筑 物 网 络 互 连 采 用 有 线 网 络 方式 连接 居多 ， 如 使 用 光线、 交换机 等 连接 两 个 建 
筑 物 的 LAN 汇聚 成 一 个 3 层 广播 域 。 但 在 有 些 情 况 下 可 能 无 法 进行 有 线 连接 ， 如 果 此 时 两 个 
建筑 物 距 离合 适 并 且 直 接 相 互 可 视 ， 那 么 可 以 采用 无 线 网 桥 进行 连接 ， 如 图 3-26 所 示 。 


图 3-26 点 到 点 网 桥 连接 


此 时 ,两 个 AP 作为 一 个 两 端口 的 罗 辑 网 桥 发 挥 作用 ，AP 运行 在 氮 到 点 模式 下 ， 因 此 不 能 
再 作为 无 线 访 问 点 使 用 。 这 种 点 到 点 桥接 方式 可 以 在 没有 条 件 部 普 有 线 网 络 的 情况 下 ， 作 为 近 
距离 连接 的 一 种 解决 方案 。 


3.4.3 广域网 技术 选择 


1. 广域网 互 连 技 术 


1) 数字 数据 网 络 
数字 数据 网 络 〈Digital Data Network，DDN ) 是 一 种 利用 数字 信道 提供 数据 信号 传输 的 数 
据 传 输 网 ， 是 一 个 半 永 久 性 连接 电路 的 公共 数字 数据 传输 网 络 ， 为 用 户 提 供 了 一 个 高 质量 、 高 
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市 宽 的 数字 传输 通道 。 


利用 DDN 网 络 实现 局 域 网 互 连 时 ， 必 须 借助 于 路 由 器 和 DDN 网 络 提供 的 数据 终端 设备 
DIU。DTU 其 实 是 DDN 专线 的 调制 解 调 磺 ， 百 接 和 DDN 网 络 通过 专线 连接 ,如 图 3-27 所 示 。 


第 喇 了 RJl1 RJI1 。 串 行 


DLIU DDN 客户 
接线 箱 接线 箱 


图 3-27 利用 DDN 实现 局 域 网 互 连 


DDN 网 络 可 以 为 两 个 终端 用 户 网 络 之 间 提 供 珊 宽 最 低 为 9.6kbps, 最 高 为 2Mbps 的 数据 业 
务 ， 虽 然 面 临 各 种 新 型 传输 技术 的 挑战 ， 但 由 于 DDN 可 以 为 任何 信号 和 传输 协议 提供 透明 传 
递 ， 至 今 为 止 DDN 仍 在 广域网 互 连 技术 应 用 中 占据 一 席 之 地 。 

2) SDH 

SDH (Synchronous Digital Hierarchy， 同 步 数 字体 系 ) 网 络 是 基于 光纤 的 同步 数字 传输 网 络 ， 
采用 分 组 交换 和 时 分 复 用 〈ITDM) 技术 ， 主 要 由 光纤 和 挂 接 在 光纤 上 的 分 插 复 用 髓 CADM) 、 
数字 交叉 连接 (DXC) 、 光 用 户 环 路 载波 系统 (OLC) 构成 网 络 的 主体 ， 整 个 网 络 中 的 设备 由 高 
准确 度 的 主 时 钟 统一 控制 .SDH 网 络 基 本 的 运行 载体 是 双 同 运行 的 光纤 环 路 ,可 根据 需要 采用 单 
环 、 双 环 或 者 多 环 络 构 ，SDH 文 持 多 种 网 络 拓扑 结构 ， 组 网 方式 非 音 灵活 ， 如 图 3-28 所 示 。 


5 全 D 。 色 > 
用 户 峭 设备 
图 3-28 SDH 网 结构 
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3) MSTP 

基于 SDH 的 多 业务 传送 平台 (Multi-Service Transport Platform，MSTP ) 是 指 基 于 SDH 平 
台 同 时 实现 TDM、AIM、 以 太 网 等 业务 的 接 入 、 处 理 和 传送 ， 提 供 统 一 网 管 的 多 业务 节点 。 

3-29 是 利用 MSTP 技术 , 实现 一 个 企业 不 同 局 域 网 络 之 间 连 接 的 示例 。MSTP 设备 借助 
于 SDH 网 络 提 供 的 链 路 ,形成 MSTP 业务 环 , 企业 的 不 同 局 域 网 借助 于 路 由 器 直接 接 入 到 MSTP 
设备 的 以 太 网 接口 。 这 些 企 业 网 络 所 有 的 局 域 网 之 间 的 连接 并 不 需要 占用 多 个 SDH 信道 ， 而 
是 共享 一 个 传统 SDH 信道 的 带宽 。 通 过 这 种 方式 ， 可 以 避免 企业 网 络 连 接 对 SDH 网 络 资源 的 
大 量 当 费 ， 同 时 由 于 各 个 局 域 网 络 之 间 访 问 的 透明 性 、 随 机 性 和 不 确定 性 ， 企 业 用 户 的 网 络 感 
受 和 传统 SDH 互 连 方式 区 别 不 大 。 


局 域 网 cy SDH 网 络 三 人 和 
路 由 器 路 由 器 


图 3-29 利用 MSTP 平台 实现 局 域 网 互 连 


4) 传统 VPN 技术 

传统 的 VPN 技术 主要 是 基于 实现 数据 安全 传输 的 协议 来 完成 ， 主 要 包括 两 个 层次 的 数据 
安全 传输 协议 ， 分 别 为 二 层 协 议和 三 层 协议 。 二 层 协议 的 典型 代表 为 L2TP， 主 要 用 于 利用 拨 
号 系统 实现 远程 用 户 安 全 接 入 企业 网 络 ; 典型 的 三 层 协议 包括 IPSec 和 GRE， 其 中 IPSec 主要 
是 在 卫 协议 上 实现 封装 ，GRE 是 一 种 规范 ， 可 以 适用 于 多 种 协议 的 封装 。 

基于 三 层 协议 的 VPN 技术 主要 用 于 企业 各 局 域 网 络 之 间 的 连接 ， 分 为 点 对 点 方式 和 中 心 
辐射 状 方式 ， 如 图 3-30 所 示 。 点 对 点 方式 (Point-to-Point) 下 ， 两 个 分 支局 域 网 络 边界 上 部 署 
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VPN 网 关 或 者 是 带 有 VPN 功能 的 防火 场 、 路 由 器 ， 这 些 VPN 网 关 通 过 物理 链 路 接 入 互联 网 ， 
并 由 IPSec 协议 或 GRE 协议 形成 两 个 路 由 器 之 间 的 逻辑 隧道 ， 实 现 局 域 网 络 之 间 的 数据 传递 ; 

中 心 辐 射 状 方式 (Hub-and-Spoke) 下 ， 核 心 局 域 网 和 各 分 支局 域 网 的 边界 上 都 部 署 VPN 网 关 ， 
核心 局 域 网 路 由 器 和 每 个 分 文 局 域 网 路 由 喜之 间 建 立 罗 辑 隧道 ， 完 成 多 个 局 域 网 分 文 的 互 连 ， 

分 支局 域 网 之 间 的 访问 需要 经 过 核心 局 域 网 的 转发 。 

他 变 

局 域 网 

VPN 网 关 或 市 有 VPN 功 

能 的 防火 场 、 路 由 需 


， 逮 辑 的 逻辑 的 
:IPSec 或 IPSec 或 


互联 网 
物理 连接 


氮 对 点 方式 中 心 辐 射 状 方式 
图 3-30 利用 三 层 VPN 技术 实现 局 域 网 络 互 连 


$) MPLS VPN 技术 

MPLS VPN 是 一 种 基于 MPLS 技术 的 了 P-VPN， 是 在 网 络 路 由 和 交换 设备 上 应 用 MPLS 技 
术 ， 人 向 化 核心 路 由 器 的 路 由 选择 方式 , 利用 结合 传统 路 由 技术 的 标记 交换 实现 的 卫 虚拟 专用 网 
络 (IPVPN) ， 可 用 来 构造 合适 融 宽 的 企业 网 络 、 专 用 网 络 ， 满 足 多 种 灵活 的 业务 需求 。 采 用 
MPLS VPN 技术 可 以 把 现 有 的 了 网 络 分 解 成 巡 辑 上 隔离 的 网 络 ， 这 种 逻辑 上 隅 离 的 网 络 可 用 
在 解决 企业 互 连 、 政 府 相同 /不 同 部 门 的 互 连 ， 也 可 以 用 来 提供 新 的 业务 ， 为 解决 卫 网 络 地 址 
不 足 、QosS 需求 、 专 用 网 络 等 需求 提供 较 好 的 解决 途径 ， 因 此 也 成 为 新 型 典型 运营 商 提 供 局 域 
网 络 互 连 服务 的 主要 手段 。 

一 个 典型 的 MPLS VPN 承载 平台 如 图 3-31 所 示 。 

承载 平台 上 的 设备 主要 由 各 类 路 由 器 组 成 ， 这 些 路 由 器 在 MPLS VPN 平台 中 的 角色 各 不 
相同 ， 分 别 被 称 为 P (Provider Router) 设备 、PE (Provider Edge Router) 设备 、CE (Customer 
Edge) 设备 。P 路 由 器 是 MPLS 核心 网 中 的 路 由 器 ， 这 些 路 由 堪 只 负责 依据 MPLS 标签 完成 数 
据 包 的 高 速 转发 ， PE 路 由 器 是 MPLS 核心 网 上 的 边缘 路 由 器 ， 与 用 户 的 CE 路 由 器 互 连 ，PE 
设备 负责 竺 传送 数据 包 的 MPLS 标签 的 生成 和 弹出 , 负责 将 数据 包 按 标签 发 送 给 P 路 由 器 或 接 
收 来 目 P 路 由 器 的 含 标签 数据 包 ，PE 路 由 器 还 将 发 起 根据 路 由 建立 交换 标签 的 动作 ;CE 路 由 
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器 是 直接 与 电信 运营 商 相连 的 用 户 端 路 由 器 ,该 设备 上 不 存在 任何 带 有 标签 的 数据 包 ，CE 路 由 
髓 将 用 户 网 络 的 信息 上 友 送 给 PE 路 由 器 ， 以 便于 在 MPLS 平台 上 进行 路 由 信息 的 处 理 。 


三 RS vPN 
CE CE 
sa 项 
呈 司 
PE 
PE 
TS 
0 四 
MPLSR 放 ee CS 克 
(2 CE 
(2 构 ， & 
瑟 玉 


、 MPLS 边 界 次 
(, 世 SS 层 


图 3-31 MPLS VPN 承载 平台 


如 图 3-31 所 示 ， 一 个 企业 可 以 借助 于 MPLS VPN 承载 平台 ， 将 由 不 同 CE 路 由 器 互 连 的 
局 域 网 络 互 连 起 来 形成 一 个 完整 的 企业 网 络 。 在 这 个 MPLS VPN 平台 上 , 可 以 存在 多 个 企业 网 
络 ， 这 些 网 络 之 间 除 非特 殊 设 置 ， 否 则 相互 之 间 是 逻辑 隔离 的 ， 不 同 企 业 网 络 之 间 不 能 直接 互 
访 。 用 户 网 络 只 需要 提供 CE 路 由 器 ， 并 连接 到 PE 路 由 器 ， 由 平台 管理 员 完 成 VPN 的 互 连 工 
作 。PE 路 由 器 可 以 同时 和 多 个 CE 路 由 堪 建立 物理 连接 ,也 可 以 借助 于 支持 MPLS 协议 的 交换 
机 ， 通 过 VLAN 技术 实现 和 多 个 CE 路 由 器 的 互 连 ， 从 而 保证 多 个 用 户 网 络 部 分 的 接 入 。 


2. 三 域 网 性 能 优化 


通过 分 析 通 信 网 络 的 所 有 组 成 部 分 ， 确 定 如 何 进 行 优 化 ， 提 高 总 体 性 能 并 降低 综合 费用 。 
广域网 性 能 的 优化 ， 可 以 从 以 下 方面 进行 考虑 。 

1) 广域网 网 络 瓶颈 

在 企业 内 部 网 中 ,无 论 各 个 局 域 网 络 内 部 的 带宽 如 何 见 余 ， 一 旦 各 局 域 网 络 的 广域网 连接 
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不 能 提供 局 域 网 互 访 的 带宽 需求 ,都 会 形成 企业 网 络 的 瓶颈 , 会 严重 影响 企业 网 络 的 整体 性 能 。 
因此 ， 在 进行 逻辑 设计 时 ， 应 在 保证 总 体 投资 不 超过 预算 的 同时 ， 尽 量 提升 广域网 络 的 带 
宽 ;， 另 外 ， 当 借助 于 广域网 将 各 局 域 网 互 连 起 来 后 ， 可 以 对 这 些 网 络 之 间 的 互 访 设计 较为 严格 
的 访问 控制 策略 ， 只 允许 必要 的 通信 流量 ， 提 供 对 广域网 带宽 的 合理 利用 和 分 配 。 
2) 利用 路 由 器 实现 广域网 预 留 囊 宽 
路 由 器 不 是 实现 局 域 网 络 互 连 的 唯一 设备 ， 代 理 服 务 器 、 应 用 网 关 等 设备 也 都 可 以 实现 各 
局 域 网 络 的 互 连 ， 只 是 互 连 的 层次 不 同 。 由 于 路 由 器 工作 在 网 络 层 ， 并 且 具 有 一 些 针对 信息 流 
的 优化 措施 ， 因 此 应 尽量 使 用 路 由 器 来 完成 局 域 网 互 连 ， 这 些 优 化 措施 包括 : 
e。 路 由 器 可 过 滤 不 必要 的 局 域 网 通信 量 ， 包 括 广播 通信 流量 、 不 支持 路 由 协议 的 通信 和 
发 向 未 知 网络 的 信息 等 。 
e。 路 由 器 拥有 较 强 的 数据 包 检 查 、 验 证 机 制 ， 并 可 以 通过 数据 包 的 优先 级 别 、 队 列 机 制 
等 ， 对 网 络 流量 进行 优化 。 
e。 路 由 器 可 以 针对 不 同 的 广域网 技术 ， 对 各 类 协议 参数 进行 优化 ， 通 过 不 断 调 整 参 数 ， 
达到 整体 网 络 性 能 的 优化 。 
e。 路 由 器 可 以 将 各 类 错误 的 影响 限制 在 一 个 特定 的 区 域内 ， 限 制 了 错误 的 影响 范围 。 
3) 压缩 
采用 数据 压缩 技术 可 以 有 效 利用 较 小 的 广域网 络 带宽 ， 这 些 压 缩 技 术 主 要 由 广域网 络 中 的 
路 由 器 实现 。 实 现 数据 传输 压缩 的 方式 主要 有 两 种 ， 分 别 是 基于 历史 数据 的 压 缩 和 所 有 数据 包 
压缩 。 
4) 链 路 聚合 
当 路 由 器 上 的 一 个 广域网 链接 提供 的 市 宽 不 能 满足 应 用 需求 时 ， 网 络 管理 可 以 考虑 申请 多 
个 广域网 链 路 ， 并 且 将 这 些 链 路 聚合 成 一 个 虚拟 的 链 路 ， 从 而 实现 对 广域网 络 的 优化 。 
S$) 数据 优先 权 排 序 
数据 包 的 优先 权 排 序 赋予 管理 员 更 多 的 灵活 性 ,管理 员 可 赋予 传输 队列 中 对 时 间 敏 感 的 消 
息 更 高 的 优先 权 ， 保 证 这 些 数据 的 优先 发 送 和 溢出 保护 。 通 常 优先 权 方 案 为 每 个 数据 包 分 配 确 
定 的 优先 权 ， 然 后 按 紧 急 、 高 级 、 一 般 和 低级 4 个 级 别 为 数据 包 赋 予 4 个 优先 权 队 列 之 一 。 
网 络 关 键 信 息 《〈 如 有 关 拓 扑 结构 改 变 的 路 由 协议 更 新 ) 目 动 被 分 配 到 党 急 优先 权 队 列 中 ， 
紧急 数据 包 在 所 有 信息 中 具有 最 高 优先 权 。 紧 急 优 先 权 队列 中 所 有 的 数据 包 发 送 完 以 后 ， 路 由 
笑 册 按照 用 户 配置 参数 控制 的 顺序 辐 广 域 网 接口 发 送 其 他 队列 的 数据 包 。 
6) 协议 市 宽 预 留 
协议 带宽 预 留 可 以 让 管理 员 为 特殊 的 协议 和 应 用 按 比 例 分 配 带宽 。 人 例如， 网络 管理 员 可 以 
将 广域网 总 带宽 的 10% 分 配给 HTTP 协议 ，10% 分 配给 FTP 协议 ，20% 分 配给 SMTP 和 POP3 
协议 ， 其 余 的 市 宽 不 做 分 配 。 
协议 融 宽 预 留 不 同 于 数据 优先 权 排 序 的 方案 ， 主 要 是 根据 协议 的 类 型 进行 带宽 预 留 约定 。 
例如 ， 当 广域网 络 带 宽 的 10% 预 留 给 HITP 协议 时 ， 即 使 网 络 设 备 上 还 存在 较 高 优先 权 的 数据 
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包 需 要 发 送 ， 只 要 HITP 协议 数据 占据 了 10% 的 带宽 ， 这 些 高 优先 权 的 数据 也 不 能 占用 HTTP 
的 人 带宽， 而 预 留 的 另外 一 个 意思 是 ， 如 果 这 些 预 留 的 带宽 特定 协议 使 用 不 了 ， 则 可 以 由 其 他 协 
议 占 用 。 

7) 对 话 会 平 

对 话 公 平 是 对 协议 预 留 方案 的 增强 ， 它 保证 通信 平等 地 在 所 有 用 户 间 传 输 ， 不 允许 某 个 用 
户 垄 断 广域网 带宽 。 对 话 公 平 主要 是 为 了 防止 一 些 用 户 长 期 占用 网 络 资源 ， 而 影响 了 其 他 用 户 
的 网 络 访问 。 对 话 公平 在 协议 带宽 预 留 的 基础 上 ， 将 预 留 的 网 络 带 宽 平 均 分 配给 所 有 的 协议 用 
户 。 例 如 总 带宽 的 10% 被 分 配给 了 HITP 协议 ， 而 当前 有 20 个 HITP 对 话 连接 ， 则 每 个 连接 
的 带宽 都 将 被 限制 为 HITTP 协议 预 留 带宽 的 1/20， 也 就 是 总 带宽 的 0.3%， 这 样 可 以 保证 每 个 
HTTP 用 户 都 能 够 均衡 地 访问 网 络 。 


3.4.4 _IP 地 址 和 路 由 规划 


1.IP 地 址 规划 


为 了 使 网 络 正 常 运行 ， 正 确 分 配 王 地 址 是 很 关键 的 ， 而 且 如 果 地 址 分 配合 理 ， 可 便于 对 
地 址 进行 汇总 。 地 址 汇总 可 以 确保 路 由 表 更 小 ， 路 由 表 查 找 效率 更 高 ， 路 由 更 新 信息 更 少 ， 减 
少 对 网 络 带 宽 的 占用 ， 而 且 更 容易 定位 网 络 故障 〈 因 为 网 络 变化 影响 到 的 路 由 器 更 少 ) 。 

1) 确定 所 需 卫 地 址 数量 

为 了 确定 用 户 网 络 中 需要 卫 地 址 的 数量 ， 要 通过 需求 调研 和 实地 考察 的 方式 来 确定 哪些 
设备 需要 卫 地 址 〈 这 些 设备 包括 路 由 器 、 交 换 机 、 防 火 墙 、 服 务 器 、 卫 电话 和 办 公 PC 等 ) ， 
需要 确定 每 个 设备 有 几 个 接口 需要 耳 地 址 。 

此 外 ， 还 要 考虑 由 于 网 络 的 发 展 ， 需 要 保留 一 定 地 址 ， 一 般 需 要 预 留 总 数 的 10% 一 20%。 
如 果 没 能 预 留 足 够 的 地 址 空间 ， 那 么 随 着 网 络 规模 扩展 ， 将 不 得 不 重新 配置 路 由 器 ， 增 加 新 的 
子 网 和 路 由 信息 。 在 最 坏 情况 下 ， 可 能 不 得 不 需要 为 整个 网 络 重 新 分 配 地 址 。 

确定 所 需 卫 地 址 数量 后 ， 如 果 用 户 网 络 需 要 接 入 Internet， 则 需要 向 相关 网 络 地 址 管理 
机 构 申 请 地 址 , 通常 向 提 供 Internet 接 入 服务 的 ISP 申请 地 址 空间 ,包括 申请 IPv4 地 址 和 IPv6 
地 址 。 

以 某 高 校 为 例 ， 作 为 中 国教 育 科 研 网 (CERNET) 用 户 ，CERNET 给 其 分 配 了 128 段 C 
类 地 址 块 。 该 校 又 同时 租用 中 国电 信 100Mby/s 接 入 服务 ， 中 国电 信 给 该 校 分 配 了 一 段 B 类 地 
址 中 的 128 个 Pv4 地 址 。CERNET 为 其 分 配 的 JPv4 地 址 数量 可 以 满足 当前 需求 ， 但 是 不 能 保 
证 远 期 发 展 有 足够 的 IPv4 地 址 ， 而 且 就 目前 IPv4 地 址 紧缺 的 情况 看 ， 未 来 也 难以 向 CERNET 
申请 更 多 的 IPv4 地 址 ， 因 此 需要 考虑 使 用 私有 地 址 。 中 国电 信 给 该 校 提供 的 了 了 v4 地 址 更 少 ， 
仅 用 于 校园 网 接 入 电信 网 时 的 NATI 转换 使 用 。 

此 外 ， 该 高 校 校园 网 同时 文 持 卫 v6， 接 入 了 中 国教 育 科 研 网 IPv6 网 络 CERNET2。 因 此 也 
需要 申请 IPv6 地 址 ， 该 校 申 请 了 前 绥 为 48 位 的 IPv6 地 址 段 〈2001:250:200::/48) ， 理 论 上 有 
2 “个 IPv6 地 址 ， 足 以 满足 相当 长 一 段 时 间 内 网 络 的 发 展 需要 。 


第 3 章 网 络 规划 与 设计 


2) 网 络 地 址 转换 CNAT) 

因为 可 用 的 IPv4 公有 地 址 数量 有 限 ， 往 往 无 法 从 ISP 那里 申请 足够 的 IPv4 地 址 ， 而 且 未 
来 申请 IPv4 地 址 会 越 来 越 困 难 ， 所 以 考虑 到 网 络 发 展 的 需要 ， 可 以 在 网 络 内 部 使 用 IPv4 私有 
地 址 。 通 常 使 用 NAT 设备 来 实现 网 络 地 址 转换 ， 如 防火 墙 、 路 由 器 都 可 以 提供 NATI 服务 。 

3) 划分 子 网 

路 由 器 用 于 连接 多 个 逻辑 分 开 的 网 络 。 逻 辑 网 络 代 表 一 个 单独 的 网 络 或 一 个 子 网 ， 通 常 为 
一 个 广播 域 。 当 数据 从 一 个 子 网 传输 到 另 一 个 子 网 时 ， 需 要 通过 路 由 器 判断 数据 的 网 络 地 址 选 
择 路 径 ， 完 成 数据 转发 工作 。 路 由 器 要 使 用 子 网 掩 码 完成 计算 网 络 地 址 的 功能 。 

在 配置 路 由 器 的 接口 地 址 时 ， 需 要 配置 卫 地 址 和 相应 的 掩 码 。 路 由 器 不 仅 要 使 用 这 些 信 
息 作 为 接口 编 址 ， 还 要 确定 接口 所 连 子 网 的 地 址 ， 把 它 记 入 路 由 表 中 ， 作 为 连接 到 该 接口 的 直 

4) 层次 化 卫 地 址 规划 

IP 地 址 分 配 是 一 个 重要 步骤 ， 分 配 不 合理 就 会 出 现 网 络 管理 困难 或 混乱 。 层 次 化 卫 地 址 
规划 是 一 种 结构 化 分 配 地 址 方式 ， 而 不 是 随机 分 配 。 

图 3-32 为 某 公 司 的 网 络 拓扑 结构 ， 该 单位 申请 到 了 4 段 C 类 地 址 : 202.4.2.0/24、 
202.4.3.0/24、202.4.4.0/24 和 202.4.5.0/24。 根 据 业 务 需 要 ， 划 分 了 8 个 罗 辑 子 网 ， 每 个 子 网 最 


多 能 有 1256 台 主 机 。 
司机 


子 网 1 子 网 1 “ 子 网 3 子 网 4 “ 子 网 5 子 网 6 “ 子 网 7 子 网 8 
图 3-32” 某 公司 网 络 拓扑 
如 果 不 采 用 层次 化 地 址 分 配方 式 ， 每 个 子 网 卫 地 址 随机 分 配 如 下 : 


子 网 1，202.4.2.0/25 子 网 2， 202.4.$.128/25 
子 网 3，202.4.3.128/25 子 网 4，202.4.4.0/25 
子 网 $，202.4.3.0/25 子 网 6: 202.4.5.0/25 


于 网 7: 202.4.4.128/23 于 网 8: 202.4.2.128/25 
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使 用 层次 化 地 址 规划 使 得 骨干 网 上 的 路 由 表 更 小 ， 减 轻 了 核心 路 由 器 的 处 理 压 力 。 另 外 ， 
也 意味 着 小 型 局 部 故障 不 需要 在 整个 网 络 中 通告 。 例 如 ， 如 果 路 由 器 D 和 子 网 1 相连 的 端口 发 
生 故 障 ， 此 时 汇总 路 由 不 必 发 生变 化 ， 去 往 子 网 1 的 流量 由 路 由 器 D 回复 错误 信息 ， 因 而 故 
障 不 会 通知 到 核心 路 由 器 和 其 他 地 区 , 减少 了 路 由 更 新 导致 的 网 络 和 路 由 器 开销 。 汇 总 路 由 后 ， 
路 由 器 发 送 路 由 更 新 信息 时 ， 须 采用 CIDR 格式 ， 即 A.B.C.Dmn 格式 。 


2. 路 由 规划 


完成 划分 子 网 和 卫 地 址 层次 化 分 配 后 ， 用 户 网 络 可 能 被 划分 成 多 个 多 辑 网 络 ， 每 个 逻辑 
网 络 都 是 一 个 广播 域 ， 不 同 逻辑 网 络 之 间 的 通信 需要 使 用 路 由 堪 来 实现 。 路 由 峰 的 功能 就 是 将 
每 个 报 文 按照 到 达 目 的 网 络 的 最 佳 路 径 转 发 。 而 路 由 器 必须 使 用 一 定 的 路 由 协议 才能 彼此 学 习 
路 由 信息 ， 为 报 文 选择 最 佳 路 径 。 因 此 在 网 络 规划 设计 中 ， 选 择 并 配置 合适 的 路 由 协议 也 是 影 
啊 最 终 网 络 性 能 的 关键 因素 。 

1) 路 由 表 

我 们 知道 路 由 器 通过 查询 路 由 表 进 行 卫 报 文 转发 。 路 由 表 中 的 每 一 项 就 是 一 条 路 由 信息 ， 
一 项 路 由 信息 应 该 包括 目的 地 址 /前 绥 长 度 、 下 一 跳 地 址 (Next Hop) 和 接口 Interface) 。 图 
3-33 给 出 了 某 Juniper 防火 墙 〈 带 路 由 器 功能 ) 的 路 由 表 信 息 。 


Removse | 
ee | Remove 
58.60.8.0/21 |202.112.41.73 |athemetti2 [5 2 1 Root |Ramove 
58.61.32.0/23 202.112.41.73 ] Remove 


58.61.34.0/24 202， 112.41.73 [Root “|Remove 
58， 61， 164- o/23 202， 112， 41. 73 Root Remove 
a 浊 -二 aa 


58， 59.1， .15/32 202.112.41.73 
58. 59， 和 .16/31 202.112.41.73 | ethernetry2 


ethernriett/2 S 


ethernetl/2 
人 


=” |58.6 61.166.0/24 202.112.41.73 |ethemetl/2 5 | Root ”|Remove 

| ee 人 二 SS 

”| 58,61.224.0/19 202.112.41.73 HE 

[> | 58. 63.243.240132 | 202.112.41.73 |ethernetly2 | 

= | 58.68. 128.72/32 202.112.41.73 | ethernetl/2 ss 1 noot |Ramove 
”| 58.154.0.0/15 | 202.112.41.73 ethernetl/2 民 

> 加 蕊 192.0.0/12 202、 112.41-.73 |ethernetl/2 

* 58， 厅 疆 过 0/25 202. 32， 41， 73 | ethermett2 国 | Remove 

”| 58.211.15.0/24 202.112.41.73 shemetly2 ss 0 四 [Root |Remove 


图 3-33 Juniper 防火 墙 路 由 表 
路 由 表 中 往往 包含 一 项 特殊 路 由 信息 : 前 缀 长度 为 0, 通常 记 为 0.0.0.0/0, 这 是 默认 路 由 。 
默认 路 由 可 以 匹配 任意 卫 地 址 ， 只 有 其 他 路 由 项 和 了 王 报 文 目的 地 址 都 不 匹配 时 才 采 用 默认 
路 由 。 
当 路 由 器 需要 转发 卫 报 文 时 , 它 就 在 路 由 表 中 查找 目 的 地 址 /前 缀 长 度 与 卫 报头 中 目的 卫 
地 址 相 匹配 的 那 一 项 。 具 体 方法 如 下 : 
(1) 将 路 由 表 中 目的 地 址 与 卫 报 文 的 目的 卫 地 址 从 左 向 右 进行 比较 ， 如 果 相 同位 的 数目 
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大 于 或 等 于 前 绥 长 度 值 ， 则 匹配 该 项 路 由 信息 。 

(2) 如 果 有 多 项 路 由 信息 和 卫 报 文 的 目的 卫 地 址 匹配 ， 则 按照 “最 长 匹配 前 缀 ”选择 ， 
按照 前 缀 长 度 最 大 的 那 条 路 由 项 转发 报 文 。 

(3) 没有 匹配 的 路 由 项 时 ， 如 果 存 在 默认 路 由 ， 则 按 默认 路 由 转发 报 文 ， 如 果 没 有 默认 路 
由 ， 则 丢弃 此 报 文 ， 向 报 文 的 源 端 发 送 一 条 目的 不 可 达 ICMP 差错 报 文 。 

路 由 表 中 的 路 由 项 可 以 由 管理 员 手 工 配 置 ， 这 类 称 为 静态 路 由 ;也 可 以 是 路 由 器 通过 路 由 
协议 动态 学 习 生 成 ， 这 类 称 为 动态 路 由 。 

动态 路 由 能 适应 网 络 拓扑 的 变化 ， 但 对 于 静态 路 由 ， 当 网 络 拓扑 结构 发 生变 化 时 ， 网 络 管 
理 员 必 须 手 工 修改 路 由 器 配置 。 但 是 静态 路 由 也 具有 很 多 优点 : 当 网 络 没 有 宛 余 线路 时 ， 静 态 
路 由 是 最 有 效 的 路 由 机 制 ， 不 必 因 为 学 习 路 由 而 消耗 网 络 带宽 ， 此 外 静态 路 由 可 以 根据 需要 确 
定 卫 报 文 传输 路 径 ， 可 用 于 加 强 安全 访问 控制 。 因 此 要 根据 实际 需要 ， 合 理 使 用 静态 路 由 和 动 
态 路 由 ， 注 意 两 者 之 间 的 协调 。 

2) 路 由 度量 

路 由 器 的 重要 工作 就 是 确定 到 达 目 标 网 络 的 最 佳 路 径 。 路 由 协议 要 用 一 定 的 度量 标准 来 评 
估 哪 一 条 路 径 最 佳 ， 主 要 有 以 下 度量 方法 : 

(1) 跳 数 : 到 达 目 标 网 络 所 经 过 的 路 由 器 个 数 称 为 跳 数 ， 跳 数 最 少 的 路 径 为 最 佳 。 

(2) 带宽 : 网 络 链 路 的 带宽 ， 春 宽 最 小 的 路 径 最 不 理想 。 

(3) 时 延 : 累计 时 延 最 小 的 路 径 为 首选 路 径 。 如 果 采 用 时 延 度 量 ， 路 由 器 可 以 通过 发 送 
一 个 “回应 请 求 ” 报 文 ， 等 接收 到 其 他 路 由 器 的 “回应 响应 ” 报 文 后 ， 测 出 它 到 其 他 路 由 器 
的 时 延 。 

(4) 代价 : 通常 与 带宽 成 反比 ， 由 最 慢 的 链 路 组 成 的 路 径 代价 最 高 ， 因 而 是 最 不 理想 的 


(5) 负载 : 路 径 的 利用 率 〈 即 当前 使 用 了 多 少 带宽 ) 。 因 为 负载 经 向 发 生变 化 ， 因 此 输 认 
情况 下 不 被 列 入 路 径 的 计算 中 。 

《6) 可 靠 性 : 成 功 传输 报 文 的 可 能 性 。 因 为 可 靠 性 也 经 钊 发 生变 化 ， 因 此 于 认 情况 下 不 被 
列 入 路 径 的 计算 中 。 

一 些 路 由 协议 使 用 组 合 度量 ， 例 如 同时 考虑 带宽 、 时 延 等 。 

3) 路 由 协议 选择 原则 

(1) 路 由 协议 类 型 选择 。 

路 由 选择 协议 分 为 两 大 类 : 距离 向 量 协议 和 链 路 状态 协议 。 网 络 设 计 人 员 可 以 依据 以 下 的 
条 件 在 两 种 类 型 中 进行 选择 。 
当 满足 下 列 条 件 时 ， 可 以 选择 使 用 距离 癌 量 路 由 选择 协议 : 
e。 网络 使 用 一 种 简单 的 、 忆 平 的 结构 ， 不 需要 层次 化 设计 ; 
e。 网 络 使 用 的 是 简单 的 中 心 辐射 状 结构 ; 
e。 管理 人 员 缺 乏 对 路 由 协议 的 了 解 ， 路 由 操作 能 力 差 ; 
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e 收敛 时 间 对 网 络 的 影响 较 小 。 

当 满 足下 列 条 件 时 ， 可 以 选择 使 用 链 路 状态 路 由 选择 协议 : 

e。 ”网络 采用 层次 化 设计 ， 尤 其 是 大 型 网 络 ; 

e。 管理 员 对 链 路 状态 路 由 协议 理解 较 深 ; 

e。 快速 收敛 对 网 络 的 影响 较 大 。 

(2) 路 由 选择 协议 度量 。 

当 网 络 中 存在 多 条 路 径 时 ， 路 由 协议 适用 度量 值 来 决定 使 用 哪 条 路 径 。 不 同 的 路 由 选择 协 
议 的 度量 值 是 不 同 的 ， 传 统 协议 以 路 由 器 的 跳 数 作为 度量 值 ， 新 一 代 的 协议 还 将 参考 时 延 、 带 
宽 、 可 靠 性 及 其 他 因素 。 

对 度量 值 存 在 着 两 个 方面 的 考虑 : 一 是 对 度量 值 的 限制 设 定 ， 例 如 ， 如 果 设 定 基 于 中 数 进 
行 选择 ， 路 由 协议 的 有 效 路 径 度 量 值 必须 小 于 16， 这 些 度量 值 的 设 定 直接 决定 了 网 络 的 连通 性 
和 效率 ; 二 是 多 个 路 由 协议 共存 时 的 度量 值 转换 ， 路 由 器 上 可 能 会 运行 多 个 协议 ， 不 同 的 路 由 
协议 对 路 径 的 度量 值 不 同 ， 设 计 人 员 需 要 建立 起 不 同 度量 值 之 间 的 映射 关系 ， 让 多 个 协议 之 间 
相互 补充 。 

(3) 路 由 选择 协议 顺序 。 

路 由 器 上 可 能 会 存在 多 个 不 同 的 路 由 协议 ， 针 对 一 个 目标 网 络 ， 这 些 路 由 协议 都 会 选择 出 
具有 最 小 度量 值 的 路 径 ， 但 是 不 同 协议 的 度量 值 不 同 ， 可 比较 性 较 小 。 设 计 人 员 建 立 的 协议 度 
量 值 的 转换 关系 只 是 用 于 不 同 路 由 协议 之 间 的 路 由 补充 ， 不 能 用 于 具体 路 径 的 选择 。 

因此 ， 设 计 人 员 可 以 在 网 络 中 运行 多 个 路 由 选择 协议 ， 并 约定 这 些 协 议 之 间 的 顺序 ， 这 些 
顺序 可 以 用 路 由 协议 权 值 来 表示 ， 权 值 越 小 的 协议 顺序 越 靠 前 。 一 旦 多 个 路 由 协议 都 选 出 了 最 
优 路 径 ， 则 具有 最 小 权 值 的 路 由 协议 的 路 径 生 效 。 

(4) 层次 化 与 非 层次 化 路 由 选择 协议 。 

路 由 协议 从 层次 化 角度 可 以 分 为 文 持 和 不 支持 两 种 。 在 非 层 次 化 协议 中 ， 所 有 路 由 器 的 角 
色 都 是 一 样 的 ， 在 层次 化 协议 中 ， 不 同 路 由 器 的 角色 不 同 ， 需 要 处 理 的 路 由 信息 量 也 不 同 。 

对 于 采用 层次 化 设计 的 网 络 来 说 ， 最 好 采用 层次 化 路 由 选择 协议 。 

《5$) 内 部 与 外 部 路 由 选择 协议 。 

路 由 协议 根据 自治 区 域 的 划分 以 及 作用 ， 可 以 分 为 内 部 网 关 协 议和 外 部 网 关 协 议 。 设 计 人 
员 需 要 选择 正确 的 、 合 适 的 协议 类 型 , 例如 对 于 内 部 网 关 协 议 , 较为 常见 的 是 RIP、.OSPF 、IGRP; 
对 于 外 部 网 关 协 议 ， 多 选择 BGP 协议 。 

466) 分 类 与 无 类 路 由 选择 协议 。 

分 类 与 无 类 路 由 协议 的 选择 在 前 文中 已 经 进行 了 介绍 ， 是 进行 网 络 路 由 设计 时 必须 考虑 的 
内 容 。 
7) 静态 路 由 选择 协议 。 
静态 路 由 指 手工 配置 并 且 不 依赖 于 路 由 选择 协议 进行 更 新 的 路 由 。 静 态 路 由 经 常用 于 连 
接 一 个 末梢 网 络 ， 也 就 是 只 能 通过 一 条 路 径 到 达 的 网 络 部 分 。 静 态 路 由 最 常见 的 使 用 方法 就 
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是 默认 路 由 。 网 络 设计 人 员 应 该 对 设计 网 络 中 的 末梢 网 络 进行 区 分 ， 并 设 定 这 些 末 梢 网 络 的 
默认 路 由 。 

静态 路 由 一 般 情 况 下 要 比 其 他 动态 路 由 协议 级 别 高 ， 也 就 是 说 ， 即 使 通过 动态 路 由 协议 选 
出 了 一 条 最 优 路 径 ， 数 据 包 仍 然 会 依据 静态 路 由 制定 的 路 径 进 行 传递 。 因 此 设计 人 员 要 根据 实 
际 需要 来 确定 静态 路 由 选择 协议 的 范围 ， 以 免 使 动态 路 由 协议 失效 。 

最 后 ， 静 态 路 由 信息 可 以 导入 动态 路 由 选择 协议 形成 的 路 由 表 项 中 ， 形 成 路 由 信息 的 互补 
关系 。 

4) 路 由 协议 的 选择 

路 由 协议 使 路 由 器 动态 地 学 习 如 何 到 达 其 他 网 络 以 及 如 何 与 其 他 路 由 器 交换 路 由 信息 。 
针对 用 户 网 络 的 特点 ， 选 择 合适 的 路 由 协议 ， 保 证 网 络 拓扑 发 生变 化 时 能 快速 收 公 ， 而 且 尽 
可 能 使 路 由 更 新 信息 较 少 ， 以 减少 网 络 带 宽 和 设备 处 理 的 花费 〈 这 也 是 影响 网 络 整 体 性 能 以 
关键 点 ) 。 

为 了 确定 哪 一 种 路 由 协议 更 适合 用 户 网 络 ， 应 该 理解 用 户 的 需求 目标 和 不 同 路 由 协议 的 特 
征 ， 从 中 选 出 最 满足 需求 的 路 由 协议 。 表 3-2 给 出 了 常用 路 由 协议 对 应 的 分 类 特点 。 


表 3-2 路 由 协议 对 比 表 

距离 矢量 或 | 支持 层次 | 类 别 化 或 本 收 仙 

链 路 状态 型 结构 三 于 时 间 
慢 


无 类 别 化 
跳 数 
无 类 别 化 跳 数 小 型 
IGRP 类 别 化 组 合 中 等 
EIGRP 无 类 别 化 组 合 大 型 
OSPF 无 类 别 化 代价 大 型 


无 类 别 化 代价 
无 类 别 化 | 路 径 属性 


IS-IS 


设计 网 络 时 往往 会 使 用 层次 化 模型 ， 选 择 路 由 协议 时 也 可 以 根据 核心 层 、 分 布 层 和 接 入 层 
各 层 的 不 同 需求 选择 不 同 的 路 由 协议 。 

(1) 核心 层 路 由 协议 。 

核心 层 是 网 络 的 骨干 ， 提 供 高 速 链 接 ， 通 常 使 用 元 余 链 路 保证 网 络 的 高 可 用 性 ， 而 且 应 该 
能 够 实现 同等 路 径 之 间 的 负载 均衡 。 当 链 路 失效 时 ， 应 该 能 及 时 做 出 反应 ， 并 尽快 适应 改变 。 
因此 需要 选择 收敛 快速 的 路 由 协议 OSPF 和 IS-IS，IS-IS 配置 较为 复杂 ， 因 此 在 核心 层 通常 采 
用 OSPF 协议 。 距 离 矢 量 路 由 协议 〈 如 RIPv2) 不 适合 作为 核心 层 路 由 协议 ， 因 为 它 收敛 慢 ， 
当 链 路 发 生变 化 时 ， 可 能 导致 网 络 连 接 中 断 。 

(2) 分 布 层 路 由 协议 。 

分 布 层 汇聚 接 入 层 ， 实 现 到 核心 层 的 连接 ， 原 则 上 可 以 使 用 任何 内 部 路 由 协议 ， 如 RIP、 
OSPF 和 JIS-IS, 分 布 层 不 仅 要 进行 路 由 , 还 要 重新 分 配 或 过 滤 核 心 层 和 接 入 层 之 间 的 路 由 信息 。 
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路 由 重新 分 配 是 指 一 个 网 络 中 运行 了 两 种 或 两 种 以 上 路 由 协议 ， 那 么 来 自 一 种 路 由 协议 的 
信息 被 重新 分 给 另 一 种 路 由 协议 《或 为 另 一 种 路 由 协议 共享 ) 。 路 由 的 重新 分 配 由 运行 多 种 路 
由 协议 的 路 由 器 完成 。 在 路 由 重新 分 配 中 可 能 会 产生 回路 ， 因 此 还 需要 考虑 路 由 过 滤 ， 即 禁止 
通告 某 些 路 由 信息 ， 以 避免 产生 回路 。 

(3) 接 入 层 路 由 协议 。 

接 入 层 回 用户 提供 网 络 资源 访问 。 接 入 层 设备 的 内 存 和 处 理 能 力 没 有 核心 层 和 分 布 层 大 ， 
因此 选择 路 由 协议 时 要 加 以 考虑 。 由 于 接 入 层 设 备 内 存 小 ， 因 此 分 布 层 应 该 对 进入 该 层 的 路 由 
信息 进行 过 滤 。 接 入 层 可 选择 使 用 静态 路 由 , 如 果 使 用 动态 路 由 , 可 选择 的 路 由 协议 包括 RIPv2 
和 OSPF。 


3.4.5 网 络 元 余 设 计 


1. 备用 路 径 与 负载 分 担 


网 络 元 余 设 计 允 许 通过 设置 双重 网 络 元 素来 满足 网 络 的 可 用 性 需求 ， 元 余 减 低 了 网 络 的 单 
点 失效 ， 其 目标 是 重复 设置 网 络 组 件 ， 以 避免 单个 组 件 的 失效 而 导致 应 用 失效 。 在 网 络 见 余 设 
计 中 ， 对 于 通信 线路 常见 的 设计 目标 主要 有 两 个 : 一 个 是 备用 路 径 ， 另 外 一 个 是 负载 分 担 。 

1) 备用 路 径 

备用 路 径 主要 是 为 了 提高 网 络 的 可 用 性 。 当 一 条 路 径 或 者 多 条 路 径 出 现 故 障 时 ， 为 了 保障 
网 络 的 连通 ， 网 络 中 必须 存在 元 余 的 备用 路 径 。 备 用 路 径 由 路 由 器 、 交 换 机 等 设备 之 间 的 独立 
备用 链 路 构成 ， 一 般 情 况 下 ， 备 用 路 径 仅 仅 在 主 路 径 失 效 时 投入 使 用 。 

设计 备用 路 径 时 主要 考虑 以 下 因素 : 

(1) 备用 路 径 的 带宽 。 备 用 路 径 带宽 的 依据 ， 主 要 是 网 络 中 重要 区 域 、 重 要 应 用 的 珊 帘 
需要 ， 设 计 人 员 要 根据 主 路 径 失效 后 ， 哪 些 网 络 流量 是 不 能 中 断 的 来 形成 备用 路 径 的 最 小 市 
宽 需 求 。 

(2) 切换 时 间 。 切 换 时 间 指 从 主 路 径 故障 到 备用 路 径 投 入 使 用 的 时 间 ， 切 换 时 间 主 要 取决 
于 用 户 对 应 用 系统 中 断 服 务 时 间 的 容忍 度 。 

(3) 非 对称 。 备 用 路 径 的 带宽 比 主 路 径 的 带宽 小 是 正常 的 设计 方法 ， 由 于 备用 路 径 大 多 数 
情况 下 并 不 投入 使 用 ， 过 大 的 带宽 容易 造成 痕 费 。 

《4) 目 动 切换 。 设 计 备用 路 径 时 ， 应 尽量 采用 目 动 切换 方式 ， 避 免 使 用 手工 切换 。 

5) 测试。 备用 路 径 由 于 长 期 不 投入 使 用 ， 对 线路 、 设 备 上 存在 的 问题 ， 不 容易 发 现 ， 应 
设计 定期 的 测试 方法 ， 以 便于 及 时 发 现 问题 。 

2) 负载 分 担 

负载 分 担 是 通过 元 余 的 形式 来 提高 网 络 的 性 能 ， 是 对 备用 路 径 方式 的 扩充 。 负 载 分 担 是 通 
过 并 行 链 路 提供 流量 分 担 来 提高 性 能 ， 其 主要 的 实现 方法 是 利用 两 个 或 多 个 网 络 接口 和 路 径 来 
同时 传递 流量 。 
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天 于 负载 分 担 ， 设 计时 主要 考虑 以 下 因素 : 

(1) 对 于 网 络 中 存在 备用 路 径 、 备 用 链 路 的 情况 ， 就 可 以 考虑 加 入 负载 分 担 设计 ; 

(2) 对 于 主 路 径 、 备 用 路 径 都 相同 的 情况 ， 可 以 实施 负载 分 担 的 特例 一 一 负载 均衡 ， 也 就 
是 多 条 路 径 上 的 流量 是 均衡 的 ; 

(3) 对 于 主 路 径 、 备 用 路 径 不 相同 的 情况 ， 可 以 采用 策略 路 由 机 制 ， 让 一 部 分 应 用 的 流量 
分 摊 到 备用 路 径 上 : 

《4) 在 路 由 算法 的 设计 上 ， 大 多 数 设 备 制造 三 商 实现 的 路 由 算法 ， 都 能 够 在 相同 带宽 的 路 
径 上 实现 负载 均衡 ， 甚 至 于 部 分 特殊 的 路 由 算法 ， 例 如 IGRP 和 增强 下 RP 中 ， 可 以 根据 主 路 径 
和 备用 路 径 的 带宽 比例 实现 负载 分 担 。 


2. 服务 器 元 余 和 负载 均衡 


为 了 提高 服务 器 的 性 能 和 工作 负载 能 力 ， 企 业 通 常会 使 用 DNS 服务 器 、 网 络 地 址 转换 等 
技术 来 实现 多 服务 器 负载 均衡 ,特别 是 对 外 服务 的 Web 网 站 , 许多 都 是 通过 几 台 服务 器 来 完成 
服务 器 访问 的 负载 均衡 。 一 般 来 说 ， 实 现 服务 器 的 元 余 和 负载 均衡 有 多 种 方式 。 

1) 使 用 负载 服务 均衡 需 

负载 服务 均衡 器 实际 上 是 应 用 系统 的 一 种 控制 服务 器 ， 所 有 用 户 的 请 求 都 首先 到 此 服务 
器 ， 然 后 由 此 服务 器 根据 各 个 实际 处 理 服 务 器 的 状态 将 请 求 具 体 分 配 到 某 个 实际 处 理 服务 器 
中 ， 对 外 公开 的 域名 与 卫 地 址 都 是 负载 服务 均衡 器 的 域名 或 卫 地 址 。 

负载 服务 均衡 器 上 需要 安装 负载 均衡 控制 与 管理 软件 ， 这 人 台 服 务 器 一 般 只 做 负载 均衡 任务 
分 配 ， 但 不 是 实际 对 网 络 请 求 进行 处 理 的 服务 器 。 

负载 服务 均衡 器 为 了 将 负载 均匀 地 分 配给 内 部 的 多 个 服务 器 ， 就 需要 应 用 一 定 的 负载 均衡 
人 脓 略 ， 例 如 基于 CPU 楷 忙 程度 或 内 存 占用 程度 等 。 对 于 和 营 见 的 Web 服务 ， 可 以 借助 于 负载 服 
务 均衡 右 让 多 台 服 务 器 设备 提供 服务 。 每 台 服 务 器 的 状态 可 以 设 定 为 regular 〈 正 营 工 作 ) 或 
backup《〈 和 备份 状 态 ) ， 或 者 同时 设 定 为 regular 状态 。 负 载 服 务 均衡 器 根据 设 定好 的 负载 均衡 策 
略 来 将 用 户 请 求 重 定向 到 不 同 的 服务 器 。 

通过 负载 服务 均衡 髓 不 仅 可 以 实现 各 服务 器 群 的 流量 动态 负载 均衡 ， 并 互 为 风 余 备份 ， 同 
时 还 具有 一 定 的 扩展 性 ， 可 不 断 添加 新 的 服务 器 加 入 负载 均衡 系统 。 

2) 使 用 网 络 地 址 转换 

支持 负载 均衡 的 地 址 转换 网 关 可 以 将 一 个 外 部 了 王 地 址 映射 为 多 个 内 部 下地 址 ,对 每 次 TCP 
连接 请 求 动态 使 用 其 中 一 个 内 部 地 址 ， 达 到 负载 均衡 的 目的 。 地 址 转换 网 关 存在 软件 实现 和 人 硬 
件 实现 两 种 方式 。 

便 件 实现 方式 指 硬件 厂商 将 这 种 技术 集成 在 交换 机 中 ， 作 为 第 四 层 交 换 的 一 种 功能 ， 一 般 
采用 随机 选择 、 根 据 服务 器 的 连接 数量 或 者 响应 时 间 进 行 选择 的 负载 均衡 策略 来 分 配 负载 。 但 
便 件 实现 方式 的 灵活 性 不 强 ， 不 能 文 持 更 优化 的 负载 均衡 策略 和 更 复杂 的 应 用 协议 。 

软件 实现 方式 指 在 服务 器 上 安装 负载 均衡 的 地 址 转换 网 关 ， 可 以 对 各 服务 器 的 CPU、 磁盘 
IO 或 网 络 IO 等 多 种 资源 进行 实时 监控 ， 并 根据 各 种 策略 来 区 发 客户 对 服务 器 的 请 求 ， 因此 有 具 
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有 较 大 的 灵活 性 。 

3) 使 用 DNS 服务 器 

使 用 DSN 服务 器 来 提供 负载 均衡 是 一 种 较为 简单 的 方法 ， 提 供 服务 的 多 个 服务 器 独立 运 
行 ， 并 拥有 独立 的 卫 地 址 ， 形 成 了 一 个 可 以 提供 服务 的 卫 地 址 组 。 网 络 管理 员 在 DNS 服务 喜 
上 进行 注册 ， 使 得 所 有 这 些 服务 器 的 卫 地 址 都 拥有 一 个 相同 的 域名 ， 并 对 外 只 公布 这 个 域名 。 
当 客 户 提 交 服 务 请 求 前 ， 需 要 进行 域名 解析 ，DNS 服务 器 会 针对 这 个 域名 的 解析 循环 用 了 地 
址 组 中 的 卫 地 址 来 应 答 ， 使 得 每 次 客户 访问 的 服务 器 卫 地 址 都 不 同 ， 从 而 达到 负载 均衡 。 

使 用 DNS 是 一 种 简单 的 负载 均衡 方式 ， 不 可 能 根据 各 服务 器 的 负载 情况 而 动态 调整 DNS 
的 解析 ， 甚 至 服务 器 组 中 的 一 台 服 务 器 出 现 故障 而 不 能 提供 服务 时 ，DNS 仍 不 会 将 该 服务 器 的 
IP 地 址 从 循环 解析 列表 中 清除 ， 导 致 一 部 分 请 求 失效 。 

4) 高 可 用 性 技术 

双 机 热 备 份 高 可 用 〈High Availability，HA) 系统 ， 又 称 为 高 可 用 性 集群 ， 一 般 由 两 台 服 
务 器 构成 ， 通 过 对 关键 部 件 的 了 见 余 设计 ， 可 以 保证 系统 便 件 具有 很 高 的 可 用 性 ， 对 于 一 般 非 天 
键 应 用 场合 ， 其 硬件 系统 的 可 用 性 可 以 达到 99.99%。 在 正常 工作 时 ,两 台 服 务 器 同时 工作 或 一 
台 工 作 另 一 台 热 备 ， 通 过 以 太 网 和 RS232 口 互 相 进行 监测 ， 并 不 断 完成 同步 操作 ， 数 据 保存 在 
共享 磁盘 阵列 中 。 

传统 的 高 可 用 性 集群 的 工作 模式 主要 是 单 活 (Active/Passive) 、 双 活 〈Active/Active) 。 

单 活 〈Active/Passive) 指 服务 器 集群 中 ， 一 人 台 服 务 器 处 于 活跃 状态 ， 对 外 提供 服务 ， 另 外 
一 台 为 热 备 方式 ， 通 过 网 卡 和 串 行 线路 监控 活跃 服务 器 并 实现 数据 同步 ， 一 旦 发 现 活跃 服务 器 
出 现 故 障 ， 则 通过 下 地 址 漂移 等 技术 接管 服务 ， 如 图 3-34 所 示 。 

双 活 〈Active/Active) 指 服务 器 集群 中 ， 两 台 服 务 器 都 处 于 活跃 状态 ， 并 同时 提供 服务 ， 
相互 之 间 通 过 网 卡 和 虽 行 线路 相互 监控 并 实现 数据 同步 ， 一 旦 一 台 服 务 器 出 现 故 障 ， 则 另外 一 
台 服 务 器 接管 所 有 的 服务 负载 ， 如 图 3-35 所 示 。 
服务 器 A 服务 硕 B 


服务 耸 A 服务 耸 B 


2 业务 Server ) 
< 站 - 泽 
运行 中 待机 中 运行 中 运行 中 
图 3-34 单 活 (Active/Passive ) 模式 图 3-35 ” 双 活 (Active/Active) 模式 


高 可 用 性 服务 集群 主要 应 用 于 数据 库 服 务 器 和 各 种 应 用 服务 器 ， 这 些 服务 器 之 间 通 过 串 行 
线路 或 者 网 络 线路 的 心跳 线 来 实现 服务 器 监控 和 数据 同步 ， 并 且 所 有 服务 器 都 通过 光纤 通道 连 
接 人 至 磁盘 阵列 ， 实 现 高 速 的 磁盘 访问 。 

服务 需 操 作 系统 一 级 的 高 可 用 性 集群 主要 借助 于 操作 系统 提供 的 集群 软件 来 实现 ， 可 以 采 
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用 单 活 或 者 双 活 方式 。 
数据 库 应 用 一 级 的 高 可 用 性 集群 主要 借助 于 数据 库 管 理 系统 软件 提供 的 应 用 集群 软件 实 
现 。 常 用 的 数据 库 管 理 系统 产品 中 ，SQL Server 主要 采用 单 活 模式 ，Oracle 主要 采用 双 活 模式 。 
各 类 应 用 服务 软件 一 级 的 高 可 用 集群 主要 借助 于 应 用 软件 提供 的 集群 软件 实现 。 


3. 数据 容 灾 与 恢复 


数据 容 灾 机 制 保证 企业 网 络 核心 业 务 数 据 在 灾难 发 生 后 的 及 时 恢复 ， 数 据 容 灾 机 制 应 
符合 以 下 总 体 要 求 : 有 运行 维护 人 员 执 行 定期 的 数据 备份 任务 ， 有 专门 的 运 维 人 员 定 期 检 
查 数据 备份 情况 ; 应 制定 数据 恢复 预案 ， 并 由 相关 部 门 备案 ,备份 的 数据 必须 有 效 且 能 ; 
行 恢 复 。 

1) 容 灾 系 统 建设 

(1) 建设 地 址 的 选择 。 

灾难 恢复 与 灾难 备份 中 心 的 建设 地 点 应 满足 以 下 要 求 : 

e。 应 与 核心 网 络 中 心 距离 大 于 十 千 米 以 上 ; 

e。 网 络 基 础 设施 较 完 善 ， 能 提供 足够 带宽 的 广域网 络 线路 ; 

e。 应 能 够 提供 充足 的 双 回 路 电力 保障 ; 

e。 不 能 在 地 震 、 洪 游 、 人 台风 、 雷 击 等 地 质 灾害 和 天 气 灾 害 的 多 发 地 区 

e 不 能 在 重要 设施 密集 地 区 

e。 不 能 在 交通 要 道 附近 ; 

e。 不 能 与 重要 建筑 和 标志 性 建设 相 临 。 

(2) 基础 建设 的 要 求 。 

备用 基础 设施 包括 文 持 灾难 备份 系统 运行 的 机 房 、 数 据 备份 中 心 的 存储 基础 设施 和 备份 运 
行 系统 的 服务 器 等 。 建 设 要 求 如 下 : 

e。 机房 的 建设 要 求 应 符合 国标 ; 

e。 存储 基础 设施 应 建立 有 效 的 存储 系统 ， 以 保证 数据 的 安全 性 、 备 份 的 简单 性 和 易 管 

理性 ; 

e。 服务 器 应 根据 需要 ， 针 对 核心 网 络 中 的 主要 服务 设立 备份 服务 器 。 

(3) 网 络 线路 的 备份 。 

备用 网 络 系统 包含 备用 网 络 通信 设备 和 备用 数据 通信 线路 ， 并 应 满足 以 下 要 求 : 

e。 配备 与 核心 网 络 相 同等 级 的 通信 线路 和 网 络 设备 ， 包 括 通信 线路 、 路 由 器 、 交 换 机 和 

防火 墙 等 ， 使 最 终 用 户 可 通过 网 络 同时 接 入 主 、 备 中 心 ; 

e。 应 部 署 一 定 的 安全 系统 以 保证 容 灾 系统 的 安全 ， 包 括 入 侵 检 测 等 。 

(4) 建设 方式 。 

数据 备份 系统 设施 的 建设 方式 可 采用 单位 自行 建设 、 运 行 ; 多 方 共 建 或 通过 互惠 协议 获取 ; 
租用 其 他 机 构 的 系统 ， 如 商业 化 灾难 备份 中 心 的 基础 设施 ， 事 先 与 厂商 签订 紧急 供 货 协议 。 
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2) 数据 备份 与 恢复 
数据 备份 与 恢复 应 满足 以 下 要 求 : 


3.4.6 


应 提供 本 地 数据 备份 与 恢复 功能 ， 完 全 数据 备份 应 每 天 一 次 ; 

重要 数据 应 定期 从 运行 的 系统 中 备份 到 本 地 的 光盘 、 海 量 磁盘 、 磁 带 或 磁带 库 等 介 
质 中 

应 制定 合理 的 备份 策略 ， 包 括 介质 的 分 类 、 标 记 、 碍 找 方法 ， 介 质 的 使 用 、 维 护 、 保 
养 、 销 毁 ， 数 据 备份 频率 、 保 存 时 间 等 ; 

对 数据 备份 策略 的 实施 情况 定期 进行 检查 ; 

采用 异地 备份 方式 ， 数 据 可 通过 网 络 系统 定时 目 动 地 备份 到 异地 的 磁盘 阵列 

当 茶 些 因素 引起 数据 不 完整 、 不 连续 、 不 可 靠 、 丧 失业 务 的 连续 性 或 者 数据 库 需 要 重 
建 时 ， 就 应 该 进行 业务 数据 的 恢复 ; 

数据 恢复 时 ， 数 据 库 管 理 员 应 填写 数据 恢复 申请 表 ， 制 订 数 据 恢 复 计 划 ， 报 请 主管 批 
准 ， 而 后 按 恢 复 计划 执行 恢复 操作 

业务 数据 恢复 前 的 检查 ， 即 严格 审查 数据 是 否 已 经 丧失 连续 生产 的 可 能 ， 严 格 审查 数 
据 库 是 否 需要 重建 ， 严 格 检查 备份 介质 、 备 份 数据 是 否 有 效 ; 

对 数据 恢复 工具 进行 严格 控制 ， 尽 可 能 地 防止 误 操 作 。 并 且 数 据 的 恢复 工具 应 有 详细 
的 操作 说 明 、 操 作 步 又 以 及 注意 事项 说 明 。 


网 络 安全 设计 


1. 网 络 安全 准则 


1) 安全 域 划分 

网 络 平台 安全 域 通常 可 以 划分 为 : 核心 局 域 网 安全 域 、 部 门 网 络 安全 域 、 分 支 机 构 网 络 安 
全 域 、 异 地 备 灾 中 心安 全 域 、 互 联网 门户 网 站 安全 域 、 通 信 线 路 运营 商 广 域 网 安全 域 等 。 另 外 ， 
核心 局 域 网 安全 域 又 可 以 划分 为 中 心服 务 器 子 区 、 数 据 存储 子 区 、 托 管 服务 器 子 区 、 核 心 网 络 
设备 子 区 、 线 路 设备 子 区 等 多 个 子 区 域 。 在 实际 的 网 络 工程 中 ， 设 计 人 员 可 根据 需要 自行 进行 
安全 域 的 划分 。 

2) 边界 安全 策略 

网 络 的 边界 安全 访问 总 体 策 略为 : 允许 高 安全 级 别 的 安全 域 访 问 低 安 全 级 别 的 安全 域 ， 限 
制 低 安 全 级 别 的 安全 域 访问 高 安全 级 别 的 安全 域 ， 不 同安 全 域内 部 分 区 进行 安全 防护 ， 做 到 安 


全 可 控 。 


下 列 设计 规则 将 依据 常见 的 安全 区 域 方 法 ， 对 主要 的 边界 规则 进行 介绍 。 
〈1) 核心 网 络 与 互联 网 的 边界 安全 措施 设计 应 符合 以 下 要 求 ; 


应 部 普罗 辑 隔 离 措 施 ， 主 要 是 防火 墙 隔 离 ; 
允许 互联 网 用 户 访问 网 络 DMZ 区 域 的 互联 网 门户 网 站 等 相关 服务 器 的 对 外 开放 服务 ; 
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e。 ”对 于 特殊 的 应 用 ， 人 允许 互联 网 移动 办 公 人 员 通 过 安全 认证 网 关 访 问 位 于 DMZ 的 业务 
应 用 

e。 禁止 互联 网 用 户 访问 内 部 网 络 应 用 系统 ; 

e。 关闭 网 络 病毒 相关 端口 ， 无 特殊 需要 禁止 开放 ; 

e。 应 对 进出 网 络 的 数据 流 进 行 监控 、 分 析 和 审计 ; 

e。 应 阻止 来 自 互联 网 的 各 种 攻击 。 

(2) 核心 网 络 与 部 门 、 分 支 机 构 网 络 的 边界 安全 措施 设计 应 符合 以 下 要 求 : 

e。 中 小 型 网 络 ， 不 需要 在 该 边界 添 加 任何 隔离 设备 ; 

e。 ”大 型 网 络 ， 可 根据 需要 添加 逻辑 隅 离 设备 〈 如 防火 墙 或 局 用 了 过 滤 规 则 的 路 由 器 ) ; 

e。 应 对 进出 核心 局 域 网 的 数据 沈 进 行 监控 ; 

e。 关闭 网 络 病毒 相关 端口 ， 无 特殊 需要 禁止 开放 ; 

e。 人 允许 核心 网 络 访问 部 门 或 分 文 网 络 系统 ; 

e。 禁止 核心 网 络 的 普通 终端 用 户 直 接 访 问 基础 数据 库 服务 子 区 域 ; 

e。 人 允许 部 门 和 分 文 网 络 用 户 在 受 控 的 前 提 下 ， 访 问 核 心 网 络 中 的 服务 吉 资 源 。 

(3) 核心 网 络 与 异地 容 灾 中 心 的 边界 安全 措施 设计 应 符合 以 下 要 求 : 

e。 如 采用 数据 级 容 灾 ， 则 不 需要 进行 逻辑 隅 离 ， 但 是 必须 保护 线路 的 物理 安全 ; 

e。 如 采用 应 用 级 容 灾 ， 则 可 以 添加 逻辑 隔离 设备 ， 上 只 允许 开放 远程 数据 存储 和 备份 所 需 
的 相关 服务 。 

3) 路 由 交换 设备 安全 配置 

路 由 交换 设备 的 安全 配置 应 符合 以 下 要 求 : 

e。 每 台 设 备 上 要 求 安装 经 认可 的 操作 系统 ， 并 及 时 修补 漏洞 ; 

e。 路 由 器 设置 加 长 口令 ， 网 络 管理 人 员 调 离 或 退出 本 岗位 时 口令 应 立即 更 换 ; 

e。 路 由 器 密码 不 得 以 明文 形式 出 现在 纸 质 材 料 上 ， 蜜 码 应 隐 式 记录 ， 记 录 材 料 应 存放 于 
保险 柜 中 ; 

e。 限制 逻辑 访问 ， 合 理 处 置 访 问 控制 列表 ， 限 制 远 程 终 疹 会 话 ; 

e。 监控 配置 更 改 ， 改 动 路 由 器 配置 时 ， 进 行 监控 ; 

e。 定期 备份 配置 和 日 志 ; 

e。 明确 责任 ， 维 护 人 员 对 更 改 路 由 器 配置 的 时 间 、 操 作 方 式 、 原 因 和 权限 需要 明确 ， 在 
进行 任何 更 改 之 前 ， 制 定 详细 的 逆序 操作 规程 。 

4) 防火 墙 安全 配置 

在 不 同 的 安全 域 之 间或 安全 域内 部 不 同安 全 级 别 的 子 区 域 之 间 可 根据 需要 部 署 防火 场 ， 防 

火 墙 的 安全 配置 与 路 由 交换 设备 基本 相同 ， 但 是 需要 添加 一 项 内 容 一 一 防火 墙 产 品 应 有 国家 相 
天 安全 部 门 的 证 书 。 
5$) 网 闸 安全 配置 
网 络 中 如 存在 安全 级 别 较 高 的 区 域 ， 则 可 以 通过 网 闸 设 备 实施 隔离 。 同 时 ， 网 闸 隔离 尤其 


国 182 国明 网 络 规划 设计 师 教 程 (第 2 版 ) 


适用 于 工作 性 质 较为 特殊 的 单位 ， 其 内 部 网 络 中 含有 一 定 的 敏感 信息 ， 可 以 通过 网 闸 在 受 控 的 
情况 下 与 外 部 网 进行 连接 。 网 闸 的 安全 配置 要 求 同 防火 墙 。 
6) 入 侵 检 测 安全 配置 
入 侵 检 测 的 安全 配置 应 符合 以 下 要 求 : 
e。 ”中 大 型 网 络 平台 应 部 署 基于 网 络 的 入 侵 检 测 系统 (NIDS) ; 
e。 网 络 入 侵 检 测 系统 应 对 核心 局 域 网 、DMZ 区 域 进 行 检测 ; 
。 ”如 需要 对 大 型 网 络 的 部 门 、 分 支 机 构 网 络 进行 入 侵 检 测 ， 应 采用 分 布 式 方式 部 署 入 侵 
检测 系统 ; 
e。 ， 入侵 检 测 产品 应 有 国家 相关 安全 部 门 的 证 书 ; 
e。 监控 配置 更 改 ， 改 动 入 侵 检 测 系统 配置 时 ， 进 行 监控 
e。 定期 备份 配置 和 日 志 ; 
e。 入侵 检 测 系统 设 置 加 长 口令 ; 
e。 如 采用 分 布 式 部 署 方式 ， 各 级 入 侵 检 测 系统 宜 采 用 分 级 管理 方式 进行 管理 。 
7) 抗 DDoS 攻击 安全 配置 
抗 DDoS 攻击 的 安全 配置 应 符合 以 下 要 求 : 
e。 ”网络 平台 应 针对 其 对 外 提供 服务 的 区 域 ， 例 如 DMZ 区 域 部 署 抗 DDoS 设备 ; 
e。 抗 DDoS 攻击 一 般 不 部 署 于 核心 网 络 ， 而 是 部 署 于 网 络 边界 ; 
e。 ”对 于 大 型 网 络 , 可 以 采用 独立 的 抗 DDoS 攻击 设备 , 中 小 型 网 络 可 以 采用 带 有 抗 DDoS 
攻击 模块 的 防火 墙 或 路 由 器 产品 。 
8) 虚拟 专用 网 C(VPN ) 功能 要 求 
无 论 是 企业 网 络 内 多 个 局 域 网 的 VPN 互 连 ， 还 是 提供 外 部 网 络 用 户 访问 内 部 网 络 的 VPN 
网 关 ， 其 技术 要 求 都 必须 包 拓 : 
e。 应 提供 灵活 的 VPN 网 络 组 建 方式 ,支持 IPSecVPN 和 SSLVPN， 保 证 系统 的 兼容 性 ; 
e。 支持 多 种 认证 方式 ， 如 支持 用 户 名 + 口令 、 证 书 、USB+ 证 书 + 口令 三 因素 等 认证 方式 ; 
e。 文 持 隧道 传输 保障 技术 ， 可 以 穿越 网 络 和 防火 墙 ; 
e。 支持 网 络 层 以 上 的 B/S 和 C/S 应 用 ; 
e。 必须 能 够 为 用 户 分 配 专用 网 络 上 的 地 址 并 确保 地 址 的 安全 性 ; 
e。 对 通过 互联 网 络 传递 的 数据 必须 经 过 加 密 ， 确 保 网 络 其 他 未 授权 的 用 户 无 法 谈 取 该 
信息 ; 
e。 应 能 提供 审计 功能 。 
9) 流量 管理 部 署 与 功能 要 求 
在 带宽 资源 较为 紧张 的 网 络 线路 上 ， 应 可 调节 网 上 各 应 用 类 型 的 数据 流量 ， 调 整 和 限定 带 
宽 ， 保 证 重要 应 用 系统 的 网 络 带宽 。 通 常情 况 下 ， 流 量 管理 设备 部 署 于 内 部 网 络 与 互联 网 或 者 
外 部 网 络 的 出 口 处 。 流 量 管理 部 署 应 符合 以 下 要 求 : 
e。 提供 基于 卫 的 总 流量 的 控制 
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提供 多 时 段 的 网 络 流量 统计 分 析 ; 

提供 网 络 实时 负载 分 析 ; 

提供 关键 业务 流 的 实时 流量 监控 ; 

提供 应 用 流量 带宽 分 配 与 控制 ; 

提供 用 户 分 组 管理 ， 实 现 基于 卫 和 基于 用 户 的 管理 。 


10) 网 络 监控 与 审计 部 普 与 功能 要 求 
网 络 监控 与 审计 部 署 应 符合 以 下 要 求 ; 


应 在 核心 网 络 中 部 署 网 络 监控 系统 ， 采 集 和 监控 网 络 中 的 流量 和 事件 、 设 备 运 行 状 况 
等 信息 ， 通 过 对 这 些 信 息 的 分 析 发 现 异 贡 事件 ; 

应 实现 对 监控 事件 的 实时 性 啊 应 和 多 种 方式 的 报警 功能 ， 

应 实现 对 相关 事件 的 关联 处 理 、 分 析 能 力 ， 实 现 对 不 民事 件 的 应 急 处 理 能 力 ; 

应 对 异 滑 事件 及 其 处 理 进 行 审 计 ; 

应 对 审计 中 的 异 利 信息 建立 相关 的 处 理 流程 。 


11) 访问 控制 部 署 与 功能 要 求 
访问 控制 部 署 应 符合 以 下 要 求 : 


应 在 网 络 边界 部 署 访问 控制 设备 ， 启 用 访问 控制 功能 ; 

应 能 根据 会 话 状态 信息 为 数据 流 提 供 明确 的 允许 /拒绝 访问 的 能 力 ， 控 制 粒 度 为 端 
口 级 ; 

应 对 进出 网 络 的 信息 内 容 进 行 过 滤 ， 实 现 对 应 用 层 HTTP、FTP、Telnet、SMTP、POP3 
等 协议 命令 级 的 控制 ; 

应 在 会 话 处 于 非 活跃 一 定时 间或 会 话 结束 后 终止 网 络 连接 ; 

应 限制 网 络 最 大 流量 数 及 网 络 连接 数 ; 

重要 网 段 应 采取 技术 手段 防止 地 址 欺骗 ; 

应 按 用 户 和 系统 之 间 的 允许 访问 规则 ， 决 定 允 许 或 拒绝 用 户 对 受 控 系统 进行 资源 访 
间 ， 控 制 粒度 为 单个 用 户 ，; 

严格 限制 拨号 用 户 对 网 络 不 同 区 域 的 访问 。 


2. 网 络 安全 设计 


1) 网 络 安全 层次 模型 

网 络 安全 层次 模型 如 图 3-36 所 示 。 物 理 层 安全 是 安全 防范 的 基础 ， 其 次 要 依次 考 碟 网 络 
层 安 全 、 系 统 层 安 全 和 应 用 层 安 全 。 合 理 的 网 络 管理 和 安全 策略 涉及 各 个 层次 的 安全 因素 。 

物理 层 安 全 包括 通信 线路 的 安全 、 物 理 设 备 的 安全 和 机 房 的 安全 等 。 物 理 层 的 安全 主要 体 
现在 通信 线路 的 可 靠 性 〈 如 线路 备份 、 网 管 软件 和 传输 介质 ) 、 软 硬件 设备 的 安全 性 〈 如 蔡 换 
设备 、 拆 卸 设 备 和 增加 设备 ) 、 设 备 的 备份 、 防 灾害 能 力 、 防 干扰 能 力 、 设 备 的 运行 环境 《如 
温度 、 湿 度 和 灰 侍 ) 以 及 不 间断 电源 保障 等 。 
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系统 层 安 全 问题 来 目 网 络 内 使 用 的 操作 系统 安全 ， 如 
Windows、UNIX 和 Linux 等 。 系 统 层 安全 主要 表现 在 三 方 
面 : 一 是 操作 系统 本 身 的 缺陷 带 来 的 不 安全 因素 ， 主 要 包括 
身份 认证 、 访 问 控制 和 系统 漏洞 等 ， 二 是 对 操作 系统 的 安全 
配置 问题 ; 三 是 病毒 对 操作 系统 的 威胁 。 

网 络 层 安全 问题 主要 体现 在 网 络 方面 的 安全 性 , 包括 网 
络 层 身份 认证 、 网 络 资源 的 访问 控制 、 数 据 传 输 的 保密 与 完 
整 性 、 远 程 接 入 的 安全 、 域 名 系统 的 安全 、 路 由 系统 的 安全 、 
入 侵 检 测 的 手段 以 及 网 络 设施 防 病毒 等 。 

应 用 层 安全 问题 主要 由 提供 服务 的 应 用 软件 和 数据 的 
安全 性 产生 ， 包 括 Web 服务 、 电 子 邮 件 系统 和 DNS 等 。 此 
外 ， 还 包括 病毒 对 应 用 系统 的 威胁 。 

(《$) 安全 管理 

安全 管理 包括 安全 技术 和 设备 的 管理 、 安 全 管理 制度 、 部 
门 与 人 员 的 组 织 规章 等 。 管 理 的 制度 化 极 大 地 影响 着 整个 网 络 的 安全 ,严格 的 安全 管理 制度 、 明 确 
的 部 门 安全 职责 划分 以 及 合理 的 人 员 和 角色 配置 都 可 以 在 很 大 程度 上 降低 各 个 层次 的 安全 漏 词 。 

2) 网 络 安全 设计 原则 

基于 网 络 安全 层次 模型 ， 可 以 采用 模块 化 的 安全 设计 方法 ， 将 一 个 大 的 网 络 划 分 成 模块 来 
处 理 设计 上 的 问题 。 模 块 化 的 设计 方法 有 助 于 确保 在 设计 阶段 能 够 对 网 络 的 每 个 关键 部 分 进行 
考虑 ， 并 且 保 证 了 网 络 的 可 扩展 性 。 

模块 化 安全 设计 中 要 考虑 以 下 问题 : 

e 保护 Pnternet 连接 ; 

e。 公共 服务 器 保护 ; 

e。 电子 商务 服务 器 的 保护 ; 

e。 ”保护 远程 访问 和 虚拟 专用 网 ; 

e。 保护 网 络 服务 和 网 络 管理 ; 

e。 企业 数据 中 心 保 护 ; 

@ 提供 用 户 服务 ; 

e。 保护 无 线 网 络 。 


3.4.7 网络 管 理 设计 
为 了 成 功 地 管理 一 个 网 络 ， 要 考虑 如 何 选择 合适 的 网 络 管理 系统 并 集成 到 管理 策略 中 。 
1. 网 络 管理 策略 


悄 难 酋 装 习 
几 难 闸 贮 洪 
峭 难 疝 亚 导 


| | | 


图 3-36 网络 安全 层次 模型 


制定 网 络 管理 策略 的 工作 是 十 分 重要 的 ， 因 为 网 络 管理 策略 详细 描述 了 应 从 每 台 设备 上 采 
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集 哪 些 信 息 以 及 如 何 分 析 这 些 信 息 。 在 策略 制定 过 程 中 ， 可 以 从 前 面 介 绍 的 协议 工具 中 选择 合 
进 的 工具 。 

策略 中 需要 设置 一 些 半 值 ， 这 样 ， 当 参数 一 旦 超出 了 设置 的 范围 会 产生 一 些 告警 或 警报 。 
为 了 确定 这 些 贱 值 级 别 应 该 是 多 少 ， 需 要 使 用 基本 的 测量 方法 为 当前 正在 运行 的 网 络 生成 一 个 
快照 。 与 基本 测量 方法 相关 的 告警 和 警报 有 助 于 网 络 管理 者 在 网 络 正 常 运行 被 影响 之 前 主动 地 
解决 问题 ， 而 不 再 是 等 到 网 络 出 现 故 障 了 再 做 反应 。 

建议 采用 以 下 这 些 网 络 管理 的 最 佳 方法 : 

(1) 保存 软件 映像 〈 如 思科 网 络 设备 的 IOS) 和 所 有 设备 配置 的 归档 备份 。 

〈2) 保存 最 新 的 清单 ， 并 对 任何 配置 和 软件 的 更 改作 日 志 。 

(3) 监测 关键 的 参数 ， 包 括 所 有 对 网 络 重 要 的 日 志 报告 的 错误 、SNMP 陷阱 和 RMON 
统计 。 

《4) 使 用 工具 识别 所 有 的 配置 产 弄 。 


2. 网 络 管理 设计 


网 络 管理 包括 向 网 络 提供 监测 、 日 志 、 安 全 和 其 他 管理 功能 。 进 行 网 络 管理 设计 的 第 一 步 
征 了 解 网 络 和 它 的 发 展 ， 必 须知 道 网 络 所 使 用 的 设备 类 型 ， 网 络 是 如 何 组 织 的 ， 对 于 将 来 的 发 
展 有 什么 计划 。 然 后 ， 列 出 必须 拥有 的 网 络 管理 要 点 。 另 一 个 关键 元 素 是 基本 平台 ， 加 上 第 三 
方 开发 者 所 提供 的 功能 。 另 外 必须 清楚 不 同 的 产品 有 何 特性 ， 它 们 将 怎样 和 网 络 管理 软件 一 起 
工作 。 

任何 网 络 管理 解决 方案 都 必须 能 适应 客户 的 特殊 需求 , 能 适应 主要 业务 的 突然 变化 。 例 如 ， 
有 菏 公 司 并 购 了 另 一 家 拥有 3000 多 个 节点 的 公司 ， 应 该 不 用 重新 设计 其 网 络 管理 体系 结构 ， 也 
不 需要 去 购买 其 他 的 布点 管理 授权 ， 而 只 需 去 管理 这 些 新 增设 备 。 网 管 软 件 应 该 能 灵活 地 处 理 
网 络 流量 、 事 件数 量 和 类 型 的 突 增 ， 或 者 新 增 的 网 络 资源 。 

实现 网 络 管理 是 一 个 渐进 的 过 程 ， 在 实际 应 用 中 ， 各 个 企业 的 网 络 不 尽 相同 。 结 合 前 面 网 
络 常 理 的 发 展 情况 ， 在 规划 网 管 系统 时 ， 要 重点 考虑 以 下 几 个 方面 : 

1) 基于 现 有 了 网络， 且 需 要 时 能 方便 升级 额外 的 功能 。 

(2) 符合 工业 标准 ， 最 好 是 基于 SNMP 的 管理 系统 。 

(3) 文 持 第 三 方 插件 的 能 力 ， 允 许 应 用 开发 人 员 开 发 其 他 的 模块 ， 以 文 持 其 他 公司 的 产品 。 

(4) 支持 专用 数据 库 ， 数 据 库 的 统一 能 使 网 络 管理 员 在 不 同 的 网 络 管理 平台 上 进行 管理 ， 
而 不 需 建立 不 同 的 映像 和 相应 的 数据 库 。 

虽然 网 管 软件 和 网 管 系统 是 用 来 管理 网 络 、 保 障 网 络 正 常 运行 的 关键 手段 ， 但 在 实际 应 用 
中 ， 并 不 能 完全 依赖 于 网 管 产品 。 由 于 网 络 系统 的 复杂 和 多 变 ， 现 成 的 产品 往往 难以 解决 所 有 
的 网 管 问 题 。 另 外 ， 网 管 系统 的 运行 和 单位 的 管理 机 制 、 人 员 分 配 、 职 责 划 分 等 管理 因素 有 着 
密切 的 关系 ， 在 进行 网 管 系统 的 规划 和 建设 时 还 要 保证 单位 的 管理 体制 能 够 配合 网 管 系统 的 实 
施 和 运行 。 
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3.4.8 ”逻辑 网 络 设计 文 档 


逻辑 网 络 设计 文档 是 所 有 网 络 设 计 文 档 中 技术 要 求 最 详细 的 文档 之 一 ， 该 文档 是 需求 、 通 
信 分 析 到 实际 的 物理 网 络 建设 方案 的 一 个 过 渡 阶 段 文 档 ， 但 也 是 指导 实际 网 络 建设 的 一 个 关键 
性 文档 。 在 该 文档 中 ， 网 络 设计 者 针对 通信 规范 说 明 书 中 所 列 出 的 设计 目标 ， 明 确 描 述 网 络 设 
计 的 特点 ， 所 制定 的 每 项 决策 都 必须 有 通信 规范 说 明 书 、 需 求 说 明 书 、 产 品 说 明 书 以 及 其 他 事 
实 作为 插 证 。 

编写 逻辑 网 络 设计 文档 必须 使 用 非 技 术 性 描述 的 语言 ， 并 与 客户 了 殉 业 务 需 求 详细 讨论 网 络 
设计 方案 ， 从 而 设计 出 符合 用 户 需 要 的 网 络 方案 。 

在 正式 编写 逻辑 网 络 设计 文 档 之 前 ， 需 要 进行 数据 准备 。 例 如 ， 需 求 说 明 书 、 通 信 规 范 说 
明 书 、 设 备 说 明 书 、 设 备 手册 、 设 备 售 价 、 网 络 标准 以 及 其 他 设计 者 在 选择 网 络 技术 时 所 用 到 
的 信息 等 ， 这 些 可 能 都 是 逻辑 网 络 设计 阶段 需要 的 原始 数据 。 虽 然 轴 辑 网 络 设计 文档 只 包含 其 
中 的 一 小 部 分 数据 ， 但 是 与 所 有 的 原始 数据 一 样 ， 应 当 对 这 些 数据 进行 有 条 理 的 整理 ， 以 便 以 
后 查阅 。 

逻辑 网 络 设计 文档 对 网 络 设计 的 特点 及 配置 情况 进行 了 摘 述 ， 它 由 下 列 主要 元 素 组 成 。 


1. 主管 人 员 评 价 


主管 人 员 需 要 对 项 目 进行 概述 ， 其 内 容 如 下 : 

。 简短 描述 项 目 。 

e。 列 出 项 目 设 计 过 程 各 阶段 的 清单 。 

。 项 目 各 个 阶段 目前 的 状态 ， 包 括 已 完成 的 阶段 和 正在 进行 的 阶段 。 

除了 上 述 这 些 要 点 ， 还 应 回顾 一 下 双方 已 经 达成 共识 的 需求 分 析 说 明 书 和 通信 规范 说 
明 书 。 


2. 逻辑 网 络 设计 讨论 


当 网 络 设计 者 讨论 逻辑 网 络 设计 时 ， 应 当 将 重点 放 在 要 解决 的 问题 上 ， 而 不 是 解决 问题 所 
用 的 工具 上 。 因 此 ， 逻 辑 网 络 设计 文档 应 独眼 于 通信 规范 中 的 设计 目标 ， 并 给 出 每 个 目标 实现 
的 技术 方案 。 设 计 目 标 讨论 的 内 容 包 括 以 下 方面 : 
。 具体 设计 目标 : 描述 设计 目标 实现 的 关键 数据 。 
。 提出 解决 方案 : 为 了 排除 故障 或 满足 商业 需求 ， 详 细 阐 述 设计 目标 的 实现 方案 。 解 决 
方案 中 要 说 明 是 否 需要 使 用 现 有 设备 、 购 置 新 设备 或 者 二 者 都 需 用 。 
。 成 本 估 测 : 虽然 在 物理 网 络 设计 尚未 完成 之 前 ， 不 可 能 做 出 精确 的 成 本 佑 测 ， 但 是 也 
要 尽 可 能 地 对 每 个 方法 的 技术 成 本 做 出 佑 测 ， 以 确定 设计 方案 是 否 超出 了 预算 。 
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3. 新 的 逻辑 网 络 设计 图 表 


逻辑 网 络 设计 必须 能 清晰 地 表明 新 网 络 的 特点 及 所 需要 的 配置 情况 ， 包 括 新 设备 、 链 路 或 
实施 安全 级 别 等 ， 图 表 应 当 清 晰 地 表示 出 新 网 络 和 现 有 网 络 的 区 别 。 


4. 总 成 本 估 测 


要 考虑 一 次 性 成 本 和 需要 重复 支出 的 成 本 ， 还 要 考虑 包含 新 的 培训 成 本 、 咨 询 服务 费用 以 
及 雇用 新 员工 等 在 内 的 成 本 。 如 果 提 出 的 方案 成 本 估算 已 经 超出 了 预算 ， 那 么 要 把 方案 在 商业 
上 的 优点 列 出 来 ， 然 后 提出 一 个 满足 预算 的 替代 方案 。 如 果 方 案 成 本 估算 在 预算 的 范围 内 ， 就 
不 用 缩减 预算 了 ， 但 要 提醒 管理 者 安装 成 本 还 是 必须 要 考虑 到 最 后 的 预算 之 中 。 


S. 审批 部 分 


在 物理 网 络 设计 阶段 开始 前 ， 辑 网 络 设计 方 案 必 须 经 过 高 层 人 员 审 批 。 罗 辑 网 络 设计 方 
案 通 过 批准 ， 管 理 层 同意 接受 提出 的 功能 性 解决 方案 ， 同 时 获得 相应 的 实现 技术 。 最 后 ， 为 使 
文档 生效 ， 需 要 各 个 管理 者 在 逻辑 网 络 设计 文档 说 明 书 上 签名 ， 网 络 设计 组 代表 也 要 签名 。 


6. 修改 逻辑 网 络 设计 方案 


对 于 每 次 的 修改 ， 需 要 保存 好 修改 的 备份 、 后 继 版 本 号 ， 包 括 在 文档 开始 前 ， 概 述 中 的 版 
本 及 修改 的 注释 等 信息 。 


3.5 物理 网 络 衣 计 


物理 网 络 设计 是 网 络 设计 过 程 中 ， 紧 随 逻 辑 网 络 设计 的 一 个 重要 设计 部 分 ， 通 过 对 2 迎 辑 网 
络 设 计 的 物理 化 ， 提 供 了 网 络 实施 所 必需 的 信息 。 物 理 网 络 设计 的 输入 是 需求 说 明 书 、 通 信和 规 
范 说 明 书 和 逻辑 网 络 设计 说 明 书 。 

物理 网 络 设 计 的 任务 是 为 所 设计 的 逻辑 网 络 设计 特定 的 物理 环境 平台 ， 主 要 包括 综合 布线 
系统 设计 、 机 房 设 计 、 设 备 选 型 、 网 络 实施 ， 这 些 内 容 要 有 相应 的 物理 设计 文档 。 由 于 逻辑 网 
络 设计 是 物理 网 络 设计 的 基础 ， 因 此 逻辑 网 络 设计 的 商业 目标 、 技 术 需 求 、 网 络 通 信 特 征 等 因 
素 都 会 影响 物理 网 络 设计 。 


3.5.1 纤 合 布线 系统 设计 


综合 布线 系统 (Premises Distributed System，PDS) 是 建筑 物 与 建筑 综合 布线 系统 的 简称 ， 
它 是 指 一 建筑 物 内 “〈 或 综合 性 建筑 物 内 ) 或 建筑 群体 中 的 信息 传输 媒介 系统 ， 它 将 相同 或 相似 
的 缆 线 〈 如 对 绞 线 、 同 轴 电 缆 或 光缆 ) 以 及 连接 硬件 〈 如 配 线 架 ) 按 一 定 关 系 和 通用 秩序 组 合 ， 
集成 为 一 个 具有 可 扩展 性 的 柔性 整体 ， 构 成 一 套 标准 规范 的 信息 传输 系统 。 

综合 布线 系统 是 目前 国内 外 推广 使 用 的 比较 先进 的 综合 布线 方式 ， 它 是 一 套 完 整 的 系统 工 
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程 ， 包 括 传输 媒体 〈 双 绞 线 、 铜 线 及 光纤 ) 、 连 接 硬 件 〈 跳 线 架 、 模 块 化 插座 、 适 配器 和 工具 
等 ) 以 及 安装 、 维 护 管理 及 工程 服务 等 。 

综合 布线 系统 在 国际 、 国 内 都 有 相关 的 行业 标准 ， 如 美国 标准 有 EIA/TIA 制定 的 EIA/TIA 
5$68《 商 业 建 筑 通 信 布 线 标准 》、EIA/TIA $69《 电 信 通 路 和 空间 商用 建筑 标准 》、EIA/ATIA 5$70 
《住宅 和 轻工业 建筑 布线 标准 》 等 。 国 际 标准 化 组 织 ISO 也 有 对 应 的 标准 : ISOAEC 11801《 信 
息 技 术 一 用 户 场 所 的 综合 布线 》 等 。 我 国 在 GBMT $0311 一 2000《 建 筑 与 建筑 群 综合 布线 系统 工 
程 设计 规范 》 中 将 综合 布线 系统 命名 为 GCS 〈Generic Cabling System) 。 

综合 布线 系统 架构 如 图 3-37 所 示 。 

水 平 布线 子 系统 


管理 子 系统 工作 区 子 系统 


建筑 群 干线 子 系统 \ 铜 级 
设备 间 子 系统 


图 3-37 ” 绿 合 布线 系统 如 构 图 


综合 布线 系统 包含 6 个 子 系统 : 工作 区 子 系统 、 水 平 布线 子 系统 、 管 理子 系统 、 垂 直 干 线 
子 系统 、 设 备 间 子 系统 和 建筑 群 干线 子 系统 。 


3.5.2 机房 设计 


为 规范 电子 信息 系统 机 房 设计， 确保 电子 信息 系统 设备 安全 、 稳 定 、 可 靠 地 运行 ， 做 到 技 
术 和 先进、 经 济 合理 、 安 全 适用 、 节 能 环保 , 由 中 国电 子 工程 设计 院 牵 头 制 定 了 GB 一 50174 一 2008 
《电子 信息 系统 机 房 设 计 规 范 》。 本 规范 适用 于 建筑 中 新 建 、 改 建 和 扩建 的 电子 信息 系统 机 房 
的 设计 。 本 规范 包括 的 设计 要 求 分 类 如 下 : 

e。 机房 分 机 及 性 能 要 求 ; 

e。 机 房 位 置 及 设备 布置 ; 
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e 环境 要 求 ; 

e。 建筑 与 结构 ; 

e。 ” 衬 气 调 太 ; 

e。 电气 技术 ; 

e。 电厂 屏蔽 ; 

e 机 房 布 线 ; 

e。 机房 监控 与 安全 防范 
e。 给 水 排水 ; 

e。 消防 。 


3.5.3 ”设备 选 型 

在 物理 网 络 设计 阶段 ， 根 据 需求 说 明 书 、 通 信 规 范 说 明 书 和 逻辑 网 络 设计 说 明 书 选择 设备 
的 品牌 和 型 号 ， 是 较为 关键 的 任务 之 一 。 

在 进行 设备 的 品牌 、 型 号 的 选择 时 ， 应 该 考虑 以 下 几 方 面 的 内 容 。 


1. 产品 技术 指标 

产品 的 技术 指标 是 决定 设备 选 型 的 关键 ， 所 有 可 以 选择 的 产品 ， 都 必须 满足 通信 规范 分 析 
中 产生 的 技术 指标 ， 也 必须 满足 逻辑 网 络 设 计 中 形成 的 逻辑 功能 。 

2. 成 本 因素 


除了 产品 的 技术 指标 之 外 ， 设 计 人 员 和 用 户 最 关心 的 就 是 成 本 因 系 ,网络 中 各 种 设备 的 成 
本 主要 包括 购置 成 本 、 安 装 成 本 、 使 用 成 本 。 设 计 人 员 要 针对 不 同 品牌 、 型 号 产品 的 成 本 进行 
估算， 并 形成 相应 的 对 照 表 ， 以 便于 用 户 进行 选择 。 


3. 原 有 设备 的 兼容 性 


在 产品 选 型 过 程 中 ， 与 原 有 设备 的 兼容 性 是 设计 人 员 必 须 考虑 的 内 容 。 购 置 的 网 络 设 备 必须 
与 原 有 设备 能 够 实现 线路 互 连 、 协 议 互 通 ， 才 能 有 效 地 利用 现 有 资源 ， 实 现 网 络 投资 的 最 优化 ; 刀 
外 ， 保 证 与 原 有 设备 的 兼容 性 ， 也 降低 了 网 络 管理 人 员 的 管理 工作 量 ， 利 于 实现 全 网 统一 管理 。 


4. 产品 的 延续 性 


产品 的 延续 性 是 设计 人 员 保证 网 络 生命 周期 的 关键 因素 ,产品 的 延续 性 主要 体现 在 厂商 对 
某 种 型 号 的 产品 是 否 继续 研发 、 继 续 生产 、 继 续 保证 备品 配件 供应 、 继 续 提供 技术 服务 。 


S$. 设备 可 管理 性 
设备 可 管理 性 是 进行 设备 选 型 时 的 一 个 非 关 键 因素 ， 但 也 是 必须 考虑 的 内 容 。 设 计 人 员 在 
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购置 设备 时 ， 必 须 考 虑 设备 的 管理 手段 ， 以 及 是 否 能 够 纳入 现 有 或 规划 的 管理 体系 中 。 
6. 厂商 的 技术 支持 


厂商 的 技术 文 持 一 般 包括 定期 巡 检 、 电 话 咨 询 服务 、 现 场 故 障 排除 、 备 品 备 件 等 。 设 计 人 
员 在 选择 产品 时 ， 可 以 比较 不 同 品牌 在 本 地 的 分 支 机 构 、 服 务 人 员 数 量 、 售 后 服务 电话 、 技 术 
支持 价格 等 因素 ， 为 设备 选 型 提供 一 定 的 依据 。 


7. 产品 的 备品 备件 库 


设计 人 员 可 以 将 备品 备件 库 作 为 设备 选 型 的 一 个 参考 因素 ， 在 其 他 条 件 相 同 的 情况 下 ， 尽 
量 选 择 本 地 或 附近 城市 具有 民 好 备品 备件 库 的 产品 。 对 于 一 些 不 能 中 断 服 务 的 特殊 网 络 ， 例 如 
电力 系统 的 生产 调度 网 络 来 说 ， 备 品 备件 库 的 要 求 就 不 再 是 一 个 参考 因素 ， 而 是 一 个 决定 性 因 
素 了 。 


8. 综合 满意 度 分 析 


在 进行 设备 选 型 时 ， 设 计 人 员 和 用 户 会 面 对 多 种 设备 的 选择 ， 同 时 又 会 面临 不 同 的 选择 角 
度 ， 这 些 角 度 之 间 甚 至 是 相互 币 盾 的 。 为 解决 这 种 问题 ， 可 以 采用 绽 合 满意 度 分 析 方 法 ， 组 织 
有 关 人 员 和 技术 专家 对 竺 选 的 产品 进行 满意 度 评 定 ， 对 多 个 评定 结 傈 计算 平均 值 ， 根 据 最 终 满 
意 度 决 定 产品 型 号 的 首选 以 及 候选 产品 。 


3.5.4 ”物理 网 络 设计 文档 


物理 网 络 设计 文档 的 作用 是 次 明 在 什么 样 的 特定 物理 位 置 实现 逻辑 网 络 设计 方案 中 的 相 
应 内 容 ， 以 及 怎样 有 尿 辑 、 有 步骤 地 实现 每 一 步 的 设计 。 此 文档 详细 地 说 明了 连接 到 网 络 设备 
的 线 顷 的 类 型 ， 以 及 网 络 中 设备 和 连接 器 的 布局 ， 即 线 绵 要 经 过 什么 地 方 ， 设 备 和 连接 需要 安 
放 的 位 置 ， 以 及 它们 是 如 何 连 接 起 来 的 。 

物理 网 络 设计 文档 要 清楚 、 人 简明 ， 还 必须 正确 和 完整 ， 需 包括 以 下 要 素 。 


1. 主管 人 员 评 价 


相应 主管 人 员 需 要 对 项 目 做 简要 概述 ， 概 述 内 容 如 下 : 

e。 向 要 地 描述 项 目 ; 

e。 列 出 设计 过 程 各 个 阶段 的 内 容 ; 

。 项 目 各 个 阶段 目前 的 状态 ， 包 括 已 完成 阶段 和 正在 进行 的 阶段 。 


2. 物理 网 络 设计 图 表 


物理 网 络 设计 图 表 给 出 的 是 一 张 详细 的 比例 设计 和 草图， 是 物理 网 络 设计 的 结构 蓝图 。 可 以 
用 它 来 估计 所 希 线 缆 的 数量 ， 决 定 每 部 分 线 费 是否 满 足 要 求 的 长 度 等 。 由 于 物理 网 络 的 实施 都 
要 使 用 这 些 图 表 ， 所 以 必须 保证 其 正确 性 和 清晰 性 。 
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3. 注释 和 说 明 


为 了 帮助 设计 人 员 和 非 设计 人 员 在 较 短 的 时 间 内 了 解 物理 网 络 图 ,应 该 在 图 表 中 的 相应 位 
置 加 上 说 明和 注释 ， 用 于 具体 说 明 设备 连接 的 方式 和 安装 的 位 置 。 这 些 注释 应 该 说 明 所 需 线 线 
的 类 型 ， 所 遵循 的 布线 方案 ， 所 考虑 到 的 物理 安全 问题 ， 以 及 其 他 促使 做 出 这 些 决定 的 依据 。 


4. 软 硬 件 清单 


物理 网 络 设计 文档 中 除了 物理 网 络 图 外 ， 较 为 重要 的 一 项 就 是 详细 描述 网 络 实施 所 需 的 软 
便 件 清单 。 列 表 清 单 内 容 如 下 : 

。 新 的 工具 和 零件 。 列 出 进行 安 闭 所 需要 的 所 有 工具 和 和 零件， 包括 连 接 堪 、 安 装 工具 、 
软件 以 及 书籍 等 。 并 把 每 个 网 络 设备 广 商 的 产品 价格 用 表格 的 方式 列 出 来 。 

e。 利用 网 络 中 现 有 的 设备 。 如 于 部 分 或 全 部 设备 必须 改装 或 升级 ， 那 么 可 以 把 相关 材料 
源 加 到 设备 列表 清单 中 。 

。 未 应 用 的 设备 。 对 未 应 用 的 原 有 设备 应 该 加 以 注释 ， 说 明 这 些 设备 是 否 可 以 用 在 其 他 
网 络 的 设计 中 ， 或 者 是 否 已 经 被 淘汰 。 


S. 最 终 的 费用 估计 


在 物理 网 络 设计 完成 以 前 ， 应 该 明确 新 建 网 络 所 需 的 硬件 设备 数量 ， 然 后 使 用 先前 已 经 得 
到 审批 的 设计 方案 来 进行 招标 , 选择 网 络 安装 承包 商 , 并 估计 人 力 费 用 和 整个 网 络 的 安 半 费用 。 


6. 审批 部 分 


在 物理 网 络 设计 方案 实施 前 ， 必 须 通过 高 层 人 员 的 审批 ， 并 需要 各 个 主管 人 员 和 网 络 设计 
组 代表 在 物理 网 络 设计 文档 说 明 书 上 签名 。 


7. 物理 网 络 设计 的 修改 


物理 网 络 设计 是 最 接近 施工 的 设计 ， 设 计 方案 的 一 项 改动 ， 都 会 二 接 影 响 工 程 的 实施 ， 因 此 ， 
必须 有 关于 物理 网 络 设计 的 修改 约定 ， 对 可 能 产生 变更 的 方面 以 及 变更 后 的 应 对 措施 进行 明确 。 


3.6 ”网络 测试 运行 和 维护 
3.6.1 网 络 测试 概 述 


1. 网 络 测试 方法 
网 络 测 试 有 多 种 测试 方法 ， 根 据 测 试 中 是 和 否 向 被 测 网 络 注入 测试 流量 ， 可 以 将 网 络 测试 方 
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法 分 为 主动 测试 和 被 动 测试 。 

主动 测试 是 指 利用 测试 工具 有 目的 地 主动 向 被 测 网 络 注入 测试 流量 , 并 根据 这 些 测 试 流量 的 
传送 情况 来 分 析 网 络 技术 参数 的 测试 方法 。 主 动 测试 具备 良好 的 灵活 性 ， 它 能 够 根据 测试 环境 明 
确 控制 测量 中 所 产生 的 测量 流量 的 特征 ,如 特性 、 采 样 技术 、 时 标 频 率 、 调 度 、 包 大 小 、 类 型 〈 模 
拟 各 种 应 用 ) 等 ， 主 动 测试 使 测试 能 够 按照 测试 者 的 意图 进行 ， 容 易 进 行 场景 仿真 。 主 动 测试 的 
问题 在 于 安全 性 。 主 动 测试 主动 向 被 测 网 络 注入 测试 流量 ， 是 “入 侵 式 ”的 测量 ， 必 然 会 融 来 一 
定 的 安全 隐患 。 如 果 在 测试 中 进行 细致 的 测试 规划 ， 可 以 降低 主动 测试 的 安全 隐患 。 

被 动 测试 是 指 利 用 特定 测试 工具 收集 网 络 中 活动 的 元 素 〈 包 括 路 由 器 、 交 换 机 、 服 务 器 等 
设备 ) 的 特定 信息 ， 以 这 些 信息 作为 参考 ， 通 过 量化 分 析 ， 实 现 对 网 络 性 能 、 功 能 进行 测量 的 
方法 。 第 用 的 被 动 测试 方式 包括 : 通过 SNMP 协议 读 取 相关 MIB 信息 ， 通 过 Sniffer、Ethereal 
等 专用 数据 包 捕 获 分 析 工 具 进 行 测试 。 被 动 测试 的 优点 是 它 的 安全 性 。 被 动 测试 不 会 主动 癌 被 
测 网 络 注入 测试 流量 ， 因 此 就 不 会 存在 注入 、DDoS、 网 络 欺骗 等 安全 隐患 被动 测试 的 缺点 
是 不 够 灵活 ， 局 限 性 较 大 ， 而 且 因为 是 被 动 地 收集 信息 ， 并 不 能 按照 测试 者 的 意愿 进行 测试 ， 
会 受到 网 络 机 构 、 测 试 工具 等 多 方面 的 限制 。 


2. 网 络 测试 工具 


网 络 测试 工具 主要 有 线 缆 测 试 仪 、 网 络 协议 分 析 仪 、 网 络 测试 仪 。 线 线 测 试 仪 用 于 检测 线 
费 质 量 ， 可 以 直接 判断 线路 的 通 断 状况 。 网 络 协议 分 析 仪 多 用 于 网 络 的 被 动 测试 ， 分 析 仪 捕获 
网 络 上 的 数据 报 和 数据 帧 ， 网 络 维护 人 员 根 据 捕获 的 数据 ， 经 过 分 析 ， 可 迅速 检查 网 络 问题 。 
网 络 训 试 仪 是 专用 的 软 便 件 结合 的 测试 设备 ， 具 有 特殊 的 测试 板 卡 和 训 试 软件 ， 这 关 设 备 多 用 
于 网 络 的 主动 测试 ， 能 对 网 络 设 备 、 网 络 系统 以 及 网 络 应 用 进行 综合 测试 ， 有 具备 典型 的 三 大 蕊 
能 : 数据 报 捕获 、 负 载 产 生 和 智能 分 析 。 网 络 测试 仪 多 用 于 大 型 网 络 的 训 试 。 


3. 网 络 测试 的 安全 性 


根据 防范 安全 攻击 的 安全 需求 、 需 要 达到 的 安全 目标 、 对 应 安全 机 制 所 需 的 安全 服务 等 因 
素 ， 参 照 SSE-CMM 〈 系 统 安全 工程 能 力 成 熟 度 模型 ) 和 ISO17799【〈 信 息 安 全 管理 标准 ) 等 国 
际 标 准 ， 综 合 考虑 可 实施 性 、 可 管理 性 、 扩 展 性 、 综 合 完备 性 、 系 统 均 衡 性 等 方面 ， 得 到 网 络 
对 测试 方法 的 安全 性 要 求 ， 包 括 以 下 内 容 : 

(1) 在 采用 主动 测试 方法 时 ， 需 要 将 测试 流量 注入 网 络 ， 所 以 不 可 避免 地 会 对 网 络 造 成 影 
啊 。 对 于 被 动 测试 技术 ， 由 于 需要 采集 网 络 上 的 数据 分 组 ， 因 此 会 将 用 户 数据 暴露 给 无 意识 
接收 者 ， 对 网 络 服务 的 客户 造成 潜在 的 安全 问题 。 

(2) 在 网 络 中 ， 测 试 活 动 本 身 也 可 以 看 作 是 网 络 所 提供 的 一 种 特殊 的 服务 ， 因 此 要 防止 网 
络 中 的 破坏 行为 对 测试 主机 的 攻击 。 


4. 网 络 工程 信息 安全 等 级 划分 
桶 皮 书 是 美国 国家 安全 局 (NSA) 的 国家 计算 机 安全 中 心 (NCSC) 颁布 的 官方 标准 ， 其 
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正式 的 名 称 为 “受信 任 计算 机 系统 评价 标准 ”(Trusted Computer System Evaluation CRITERIA， 
TCSEC) 。2015 年 ， 橘 皮 书 是 权威 性 的 计算 机 系统 安全 标准 之 一 ， 它 将 一 个 计算 机 系统 可 接受 
的 信任 程度 给 予 分 级 ， 依 照 安全 性 从 高 到 低 划分 为 A、B、C、D 四 个 等 级 ， 这 些 安全 等 级 不 是 
线性 的 ， 而 是 指数 级 上 升 的 。 橘 皮 书 标准 (D1、C1、C2、B1、B2、B3 和 Al 级 ) 中 ，D1 级 
是 不 有 具备 最 低 安 全 限度 的 等 级 ，C1 和 C2 级 是 具备 最 低 安全 限度 的 等 级 ，B1 和 B2 级 是 具有 中 
等 安全 保护 能 力 的 等 级 ，B3 和 Al 级 属于 最 高 安全 等 级 。 


3.6.2 ”网 络 设备 与 子 系统 测试 


1. 网 络 设备 测试 


1) 路 由 器 设备 检测 
网 络 系统 中 使 用 的 路 由 器 设备 的 接口 功能 、 通 信 协 议 功能 、 数 据 包 转 发 功能 、 路 由 信息 维 
护 、 管 理 控 制 功能 、 安 全 功能 及 性 能 指标 应 符合 YDMT 1096 一 2001、YDAMT 1097 一 2001 的 规定 
及 产品 明示 要 求 。 路 由 器 设备 检测 主要 包括 以 下 内 容 : 
e。 ”检查 路 由 器 ， 包 括 设备 型 号 、 出 广 编号 及 随机 配套 的 线 绩 ; 检测 路 由 器 软 便 件 配置 ， 
包括 软件 版 本 、 内 存 大 小 、MAC 地 址 、 接 口 板 等 信息 。 
e。 ”检测 路 由 器 的 系统 配置 ， 包 括 主机 名 、 各 端口 耻 地 址 、 端 口 描述 、 加 密 口 令 、 开 局 的 
服务 类 型 等 。 
e。 ”检测 路 由 器 的 端口 配置 ， 包 括 端口 类 型 、 数 量 、 端 口 状态 。 
e。 路 由 器 内 的 模块 〈 路 由 处 理 引 擎 、 交 换 和 矩阵 、 电 源 、 风 局 等 ) 具有 元 余 配 置 时 ， 测 试 
其 备份 功能 。 
e。 ”对 上 述 的 各 种 检测 数据 和 状态 信息 做 好 详细 记录 。 
2) 交换 机 设备 检测 
网 络 系统 中 使 用 的 交换 机 的 端口 密度 、 数 据 帧 转发 功能 、 数 据 帧 过 滤 功 能 、 数 据 帧 转发 及 
过 滤 的 信息 维护 功能 、 运 行 维护 功能 、 网 络 管理 功能 及 性 能 指标 应 符合 YDMT 1099 一 2001、YDA 代 
1255 一 2003 的 规定 和 产品 明示 要 求 。 交 换 机 设备 检测 主要 包括 以 下 内 容 : 
e。 ”检查 交换 机 的 设备 型 号 、 出 三 编号 及 软 硬 件 配置 。 
e。 ”检测 交换 机 的 系统 配置 , 包括 主机 名 、 加 密 口 令 及 VLAN 的 数量 、VLAN 描述 、VLAN 
地 址 、 生 成 树 配置 等 。 
e。 ”检测 交换 机 的 端口 ， 包 括 端口 类 型 、 数 量 、 端 口 状态 。 
e。 交换 机 内 的 模块 〈 交 换 和 矩阵 、 电 源 、 风 扇 等 ) 具有 元 余 配置 时 ， 测 试 其 备份 功能 。 
e。 ”对 上 述 的 各 种 检测 数据 和 状态 信息 做 好 详细 记录 。 
3) 服务 器 设备 检测 
服务 器 设备 检测 主要 包括 以 下 内 容 : 
e。 ”检测 服务 器 设备 的 主机 配置 ,包括 CPU 类 型 及 数量 、 总 线 配置 、 图 形 子 系统 配置 、 内 存 、 
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内 置 存储 设备 〈 软 盘 驱 动 器 、 人 硬盘、CD 驱动 器 、 磁 带 机 ) 、 网 络 接口 、 外 存 接口 等 。 

。 ”检测 服务 器 设备 的 外 设 配置 ， 例 如 ， 显 示 器 、 键 租 、 海 量 存储 设备 〈 外 置 便 盘 、 磁 带 
机 等 ) 、 打 印 机 等 。 

。 检测 服务 器 设备 的 系统 配置 ， 包 括 主机 名 称 、 操 作 系 统 版 本 、 所 安装 的 操作 系统 补丁 
情况 ， 检 得 服务 器 中 所 安装 软件 的 目录 位 置 、 软 件 版 本 。 

。 ”检查 服务 器 的 网 络 配置 ， 如 主机 名 、 卫 地 址 、 网 络 端口 配置 、 路 由 配置 等 。 

。 服务 器 内 的 模块 《电源 、 风 局 等 ) 具有 允 余 配置 时 ， 测 试 其 备份 功能 。 

。 对 上 述 的 各 种 检测 数据 和 状态 信息 做 好 详细 记录 。 

4) 网 络 安全 设备 检测 

网 络 安全 设备 检测 主要 包括 以 下 内 容 : 

。 检测 安全 设备 的 便 件 配置 是 否 与 工程 要 求 一 致 。 

。 检测 安全 设备 的 网 络 配置 ， 如 名 称 、 卫 地 址 、 端 口 配置 等 。 

检测 设置 的 安全 策略 是 否 符合 用 户 的 安全 需求 。 

对 上 述 的 各 种 检测 数据 和 状态 信息 做 好 详细 记录 。 


2. 子 系统 测试 


1) 节点 局 域 网 测试 

若 节点 局 域 网 中 存在 几 个 网 段 或 进行 虚拟 网 C(VLAN ) 划分 ， 测 试 各 网 段 或 VLAN 之 间 的 
隔离 性 ， 不 同 网 段 或 YLAN 之 间 应 不 能 进行 监听 。 检 查 生 成 树 协 议 〈STP) 的 配置 情况 。 

2) 路 由 堪 基 本 功能 测试 

路 由 堪 基 本 功能 测试 主要 包括 以 下 内 容 : 

e。 对 路 由 器 的 测试 可 使 用 终端 从 路 由 器 的 控制 端口 接 入 或 使 用 工作 站 远程 登录 。 

e。 ”检查 路 由 器 配置 文件 的 保存 。 

e。 检 碍 路 由 器 所 开局 的 管理 服务 功能 (DNS、SNMP 等 ) 。 

e。 ”检查 路 由 器 所 开启 的 服务 质量 保证 措施 。 

3) 服务 器 基本 功能 测试 

服务 器 基本 功能 测试 主要 包括 以 下 内 容 : 

e。 根据 服务 器 所 用 的 操作 系统 ， 测 试 其 基本 功能 。 例 如 ， 系 统 核心 、 文 件 系统 、 网 络 系 

统 、 输 入 /输出 系统 等 。 

e。 ”检查 服务 器 中 启动 的 进程 是 否 符合 此 服务 器 的 服务 功能 要 求 。 

e。 测试 服务 器 中 应 用 软件 的 各 种 功能 。 

e。 在 服务 器 有 高 可 用 集群 配置 时 ， 测 试 其 主 备 切换 功能 。 

4) 节点 连通 性 测试 

让 点 连通 性 测试 主要 包括 以 下 内 容 : 

e。 测试 节点 各 网 段 中 的 服务 器 与 路 由 器 的 连通 性 。 
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e。 测试 节点 各 网 段 间 的 服务 器 之 间 的 连通 性 。 

。 测试 本 节点 与 同 网 内 其 他 节点 、 与 国内 其 他 网 络 、 与 国际 互联 网 的 连通 性 。 

5) 节点 路 由 训 试 

节点 路 由 测试 主要 包括 以 下 内 容 : 

e。 ”检查 路 由 器 的 路 由 表 ， 并 与 网 络 拓扑 结构 ， 尤 其 是 本 节点 的 结构 比较 。 

e。 测试 路 由 器 的 路 由 收敛 能 力 ， 先 清除 路 由 表 ， 检 碍 路 由 表 信 息 的 恢复 。 

。 路 由 信息 的 接收 、 传 播 与 过 滤 测 试 ， 根 据 节点 对 路 由 信息 的 需求 及 节点 中 路 由 协议 的 
设置 ， 测 试 节 点 路 由 信息 的 接收 、 传 播 与 过 滤 ， 检 查 路 由 内 容 是 否 正 确 。 

e。 路 由 的 备份 测试 ， 当 节点 具有 1 个 以 上 的 出 入 口 路 由 时 ， 模 拟 某 路 由 的 故障 ， 测 试 路 
由 的 备份 情况 。 

e。 路 由 选择 规则 测试 ， 测 试 节点 对 于 路 由 选择 规则 的 实现 情况 ， 对 于 业务 流 回 安排 是 否 
符合 设计 要 求 的 流量 下 通 的 负载 分 担 实 现 情况 ， 网 络 存 在 多 个 网 间 出 入 口 时 流量 玻 通 
对 于 出 入 口 的 选择 情况 等 。 

6) 六 点 安全 训 试 

节点 安全 测试 包括 路 由 器 安全 配置 测试 和 服务 器 安全 配置 测试 。 

(1) 路 由 器 安全 配置 测试 主要 包括 以 下 内 容 : 

e。 检查 路 由 需 的 口令 是 否 加 密 。 

e。 测试 路 由 器 操作 系统 口令 验证 机 制 ， 屏 菩 非 法 用 户 登 录 的 功能 。 

e。 测试 路 由 需 的 访问 控制 列表 功能 。 

e。 对 于 接 入 路 由 器 ， 训 试 路 由 器 的 反 回 路径 转 发 〈RFP) 检查 功能 。 

e。 ”检查 路 由 器 的 路 由 协议 配置 ， 是 否 局 用 了 路 由 信息 交换 安全 验证 机 制 。 

。 ”检查 路 由 器 上 应 该 限制 的 一 些 不 必要 的 服务 是 否 关闭 。 

《2) 服务 器 安全 配置 测试 主要 包括 以 下 内 容 : 

。 测试 服务 器 的 重要 系统 文件 基本 安全 性 能 ， 如 用 户口 令 应 加 密 存放 ， 口 令 文 件 、 系 统 
文件 及 主要 服务 配置 文件 的 安全 ， 其 他 各 种 文件 的 权限 设置 等 。 

。 测试 服务 喜 系 统 被 限制 的 服务 是 否 被 花 止 。 

。 测试 服务 器 的 默认 用 户 设置 及 有 关 账 号 是 人 否 被 花 止 。 

。 测试 服务 吉 中 所 安装 的 有 关 安 全 软件 的 功能 。 

e。 测试 服务 器 上 的 其 他 安全 配置 内 容 。 


3.6.3 ” 毕 合 布线 系统 的 测试 


为 保证 综合 布线 系统 测试 数据 准确 可 靠 ， 对 训 试 环境 、 测 试 温 度 、 测 试 仪 表 都 有 严格 的 
规定 。 

(1) 测试 环境 。 综 合 布线 测试 现场 应 无 产生 严重 电 火 花 的 电焊 、 电 铅 和 产生 强 磁 干扰 的 设 
备 作 业 ， 被 测 综合 布线 系统 必须 是 无 源 网 络 ， 测 试 时 应 断 开 与 之 相连 的 有 源 、 无 源 通 信 设 备 。 
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(2) 测试 温度 。 合 布线 测试 现场 的 温度 在 20~30C， 湿度 宜 在 30%~80%， 由 于 衰减 指标 
的 测试 受 测 试 环境 温度 影响 较 大 ， 当 测试 环境 温度 超出 上 述 范围 时 ， 需 要 按 有 关 规 定 对 测试 标 
准 和 测试 数据 进行 修正 。 

(3) 测试 仪表 的 精度 要 求 。 测 试 仪表 的 精度 表示 综合 布线 电气 参数 的 实际 值 与 仪表 测量 值 
的 差异 程度 ， 测 试 仪 的 精度 直接 决定 测量 数值 的 准确 性 ， 用 于 综合 布线 测试 现场 的 测试 仪表 至 
少 应 满足 实验 室 二 级 精度 。 


1. 综合 布线 系统 测试 种 类 


综合 布线 系统 测试 从 工程 的 角度 分 为 验证 测试 和 认证 测试 两 种 。 验 证 测试 一 般 是 在 施工 的 
过 程 中 由 施工 人 员 边 施工 边 测试 ， 以 保证 所 完成 的 每 一 个 部 件 连接 的 正确 性 ， 认 证 测试 是 指 对 
布线 系统 依照 一 定 的 标准 进行 逐 项 检测 ， 以 确定 布线 是 否 能 达到 设计 要 求 。 

它们 的 区 别 是 : 验证 测试 只 注重 综合 布线 的 连接 性 能 ， 主 要 是 确认 现场 施工 时 施工 人 员 穿 
绕 、 连 接 相 关 人 硬件 的 安 麦 工艺 ， 篆 见 的 连接 故障 有 电费 标签 错 、 连 接 短 路 、 连 接 开 路 、 双 线 
连接 图 错 等 。 事 实 上 ， 施 工时 人 员 不 可 避免 地 会 发 生 连 接 出 错 ， 尤 其 是 在 没有 测试 工具 的 情况 
下 。 因 此 ， 施 工人 员 应 边 施 工 边 测试 ， 即 “ 随 装 随 测 ”， 每 完成 一 个 信息 点 就 用 测试 工具 测试 
该 点 的 连接 性 ， 发 现 问 题 及 时 解决 ， 既 可 以 保证 质量 又 可 以 提高 施工 速度 。 

认证 测试 既 注 重 连 接 性 能 测试 ， 又 注重 电气 性 能 的 测试 ， 它 不 能 提高 综合 布线 的 通道 传输 
性 能 ， 只 是 确认 安装 的 线 缆 及 相关 硬件 连接 、 安 装 工 艺 是 否 达到 设计 要 求 。 此 外 ， 除 了 正确 的 
连接 外 ， 还 要 满足 有 关 的 标准 ， 如 电气 参数 是 否 达 到 有 关 规 定 的 标准 ， 这 需要 用 特定 的 测试 仪 
器 〈 如 FLUKE 一 620/DSP100 等 ) 按照 一 定 的 测试 方法 进行 测试 ， 并 对 测试 结果 按照 一 定 的 标 
准 进行 比较 分 析 。 

目前 综合 布线 主要 有 两 大 标准 : 一 是 北美 的 EIA/TIA $68A (由 美国 制定 ) ; 二 是 国际 标准 ， 
即 ISOAEC 11801。 中 国 工程 建设 标准 化 协会 于 1997 年 颁布 了 CECS 89:97 建筑 与 建筑 群 综合 
布线 系统 工程 施工 及 验收 规范 》 和 《CECS 72:97 建筑 与 建筑 群 综合 布线 系统 工程 设计 规范 》 两 
项 行业 规范 ， 该 规范 是 以 EIA/MTIA 5$68A 的 TSB-67 的 标准 要 求 为 基础 ， 全 面包 括 了 电缆 布线 的 
现场 测试 内 容 、 方 法 及 对 测试 仪器 的 要 求 ， 主 要 包括 长 度 、 接 线 图 、 衰 减 、 近 端 串 扰 等 内 容 。 


2. 综合 布线 系统 链 路 测试 


TSB-67 定义 了 两 种 标准 的 链 路 测试 模型 : 基本 链 路 〈Basic link) 测试 和 通道 《Channel) 
测试 。 如 有 果 传 输 介质 是 光纤 ， 还 需要 进行 光纤 链 路 测试 。 基 本 链 路 是 建筑 物 中 的 固定 电缆 部 分 ， 
它 不 含 插座 至 末端 的 连接 电缆 。 基 本 链 路 测试 用 来 测试 综合 布线 中 的 固定 部 分 ， 它 不 含 用 户 跨 
使 用 的 线 统 ， 测 试 时 使 用 的 是 测试 仪 提供 的 专用 软 线 电缆 ， 它 包括 最 长 为 90m 的 水 平 布 线 ， 两 
端 可 分 别 有 一 个 连接 点 并 各 有 一 条 测试 用 2m 长 连接 线 ， 被 测试 的 是 基本 链 路 设施 。 通 道 是 指 
从 网 络 设备 至 网 络 设 备 的 整个 连接 ， 即 用 户 电线 被 当成 链 路 的 一 部 分 ， 必 须 与 测试 仪 相 连 。 通 
道 测 试用 来 测试 端 到 端的 链 路 整体 性 能 ， 它 是 用 户 连接 方式 ， 又 称 用 户 链 路 ， 用 以 验证 包括 用 
户 跳 线 在 内 的 整体 通道 性 能 ， 它 包括 不 超过 90m 长 的 水 平 线 绕 、1 个 信息 插座 、1 个 可 选 的 转 
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接点 、 配 线 架 和 用 户 跳 线 。 通 道 总 长 度 不 得 超过 100m。 

1) 链 路 连接 性 能 测试 

该 项 测试 关注 的 是 线 费 施 工时 连接 的 正确 性 ， 不 关心 布线 通道 的 性 能 ， 通 常 采用 基本 连接 
测试 模型 。 根 据 GB/T50312 一 2016《 红 合 布线 系统 工程 验收 规范 》 的 要 求 ， 综 合 布线 线 费 进 场 
后 ， 应 对 相应 线 缆 进 行 测试 。 

测试 中 发 现 的 主要 问题 包括 链 路 开路 或 短路 、 线 对 反 接 、 线 对 错 对 连接 和 线 对 串扰 连接 。 
其 中 造成 链 路 开路 或 短路 的 原因 主要 是 ， 施 工时 的 工具 或 工具 使 用 技巧 ， 以 及 墙 内 穿线 技术 问 
题 。 线 对 反 接 通常 是 由 于 同一 对 线 在 两 端 针 位 接 反 。 线 对 错 对 连接 是 指 将 一 对 线 接 到 另 一 端的 
另 一 对 线 上 。 线 对 串扰 是 指 在 连接 时 没有 按照 一 定 标准 而 将 原 有 的 两 个 线 对 拆 开 又 分 别 组 成 了 
新 的 两 对 线 ， 从 而 会 产生 很 高 的 近 端 串扰 ， 对 网 络 产生 严重 的 影响 。 

2) 电气 性 能 测试 

电气 性 能 测试 是 检查 布线 系统 中 链 路 的 电气 性 能 指标 是 否 符合 标准 。 对 于 双 线 布线 ， 一 般 
需要 测试 以 下 项 目 : 连接 图 、 线 线 长 度 、 近 端 串扰 (NEXT) 、 特 性 阻抗 、 直 流 环 路 电阻 、 衰 
减 、 近 端 串扰 与 衰减 差 (ACR) 、 传 播 时 延 和 其 他 项 目 〈 如 回 波 损耗 、 链 路 脉冲 噪声 电 平 ) 等 。 

3) 光纤 链 路 测试 

对 光纤 或 光纤 系统 ， 基 本 的 测试 内 容 为 : 测量 光纤 输入 /输出 功率 、 分 析 光 纤 的 衰减 /损耗 、 
确定 光纤 的 连续 性 和 发 生 光 损耗 的 部 位 等 。 光 缆 开 盘 后 应 先 检查 光缆 外 表 有 无 损伤 ， 光 缆 端 头 
封装 是 否 良 好 。 综 合 布线 系统 工程 采用 光缆 时 ， 应 检查 光线 合格 证 及 检验 测试 数据 ,在 必要 时 ， 
可 测试 光纤 衰减 和 光纤 长 度 。 

光纤 的 连续 性 测试 是 光纤 基本 的 测试 之 一 ， 通 常 把 红色 激光 、 发 光 二 极 管 (LED) 或 者 其 他 
可 见 光 注入 光纤 ， 在 末端 监视 光 的 输出 ， 同 时 光 通 过 光纤 传输 后 功率 会 发 生变 化 ， 由 此 可 以 测 出 
光纤 的 传导 性 能 ， 即 光纤 的 衰减 /损耗 。 光 纤 链 路 损耗 一 般 为 13d4Bkm， 连 接 器 损耗 为 0.7SdB/ 个 ， 
一 次 连接 衰减 应 小 于 3dB。 光 纤 测 试 可 用 光 损 耗 测试 仪 现场 测试 安装 的 链 路 ， 检 验 损 耗 是 否 低 于 
“规定 的 ”损耗 预算 ;用 光 时 域 反射 计 (OTDR ) 诊断 未 能 通过 损耗 测试 的 链 路 ， 识 别 缺 陷 的 成 因 
和 /或 位 置 ， 查 看 散射 回来 的 光 ， 测 量 反 射 系 数 ， 确 定 故障 位 置 ; 用 光纤 放大 镜 检验 带 连 接 器 的 光 
纤 两 端 ， 检 验 连 接 器 打磨 和 清洁 程度 。 在 问题 诊断 中 ， 通 常 第 一 步 是 使 用 放大 镜 进 行 清洁 和 目 视 
检查 。 


3.6.4 局域网 测试 


局 域 网 测试 主要 是 检验 网 络 是 否 为 应 用 系统 提供 了 稳定 、 高 效 的 网 络 平 台 ， 如 果 网 络 
系统 不 够 稳定 ， 网 络 应 用 就 不 可 能 快速 稳定 。 对 于 第 规 的 以 太 网 进行 系统 汕 试 ， 主 要 包括 
系统 连通 性 、 链 路 传输 速率 、 吞 吐 率 、 传 输 时 延 、 丢 包 率 及 链 路 层 健康 状况 测试 等 基本 功 
能 训 试 。 


1. 系统 连通 性 
所 有 联网 的 终端 都 必须 按 使 用 要 求全 部 连通 。 系 统 连通 性 测试 结构 示意 图 如 图 3-38 所 示 。 
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被 测 网 络 


测试 工具 


图 3-38 ”系统 连通 性 测试 结构 示意 图 


系统 连通 性 的 测试 方法 具体 如 下 : 

(1) 将 测试 工具 连接 到 选 定 的 接 入 层 设备 的 端口 ， 即 测试 点 。 

(2) 用 测试 工具 对 网 络 的 关键 服务 器 、 核 心 层 和 汇聚 层 的 关键 网 络 设 备 〈 如 交换 机 和 路 由 
噩 ) ， 进 行 10 次 Ping 测 试 ， 每 次 间隔 1s8， 以 测试 网 络 连 通 性 。 测 试 路 径 要 履 盖 所 有 的 子 网 和 
VLAN。 

(3) 移动 测试 工具 到 其 他 位 置 测 试点 ， 重 复 步 骤 (2) ， 直 到 遍历 所 有 测试 抽样 设备 。 

2. 链 路 传输 速率 

链 路 传输 速率 是 指 设备 间 通过 网 络 传输 数字 信息 的 速率 。 对 于 10M 以 太 网 ， 单 向 最 大 传输 
速率 应 达到 10Mbits; 对 于 100M 以 太 网 ， 单 癌 最 大 传输 速率 应 能 达到 100Mbits; 对 于 1000M 


以 太 网 ， 单 向 最 大 传输 速率 应 能 达到 1000Mbits。 发 送 端口 和 接收 端口 的 利用 率 对 应 关系 应 符 
合 表 3-3 的 规定 。 


表 3-3 发送 端口 和 接收 端口 的 利用 率 对 应 关系 


一 共享 式 以 大 网 / 半 双 工 
ZX 上 
网 络 类 型 人 交换 式 以 太 网 


接收 端口 利用 率 
IOM 以 太 网 之 45% 
100M 以 太 网 之 45% 
1000M 以 太 网 之 45%9 


3. 吞吐 率 


行 吐 率 是 指 空 载 网 络 在 没有 丢 包 的 情况 下 ， 被 测 网 络 链 路 所 能 达到 的 最 大 数据 包 转 发 
速率 。 

吞吐 率 测 试 需 按照 不 同 的 帧 长 度 (包括 64、128、25$6、5$12、1024、1280、1518 字 节 ) 
分 别 进 行 测 量 。 系 统 在 不 同 帧 大 小 情况 下 ， 从 两 个 方 癌 测 得 的 最 低 吞 吐 率 应 符合 表 3-4 的 
规定 。 
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表 3-4 系统 的 吞吐 率 要 求 
有 TIEEE 
帆 / 秒 香 叶 率 

64 >>14 731 >1 041 667 70% 
128 >8361 >633 446 75% 
256 >4483 >362 318 80% 
512 >2326 >199 718 85% 
1024 这 1185 >107 758 90% 
1280 >951 >91 345 95% 
1518 >804 >80 461 99%6 


4. 传输 时 延 


传输 时 延 是 指数 据 包 从 发 送 问 口 〈 地 址 ) 到 目的 端口 《地 址 ) 所 需 经 历 的 时 间 。 通 常 传输 
时 延 与 传输 距离 、 经 过 的 设备 和 信 着 的 利用 率 有 关 。 在 网 络 正 党 情况 下 ， 传 输 时 延 应 不 影响 各 
种 业务 〈 如 视频 点 播 、 基 于 卫 的 语音 /VoIP、 高 速 上 网 等 ) 的 使 用 。 

考虑 到 发 送 端 测 试 工具 和 接收 端 测试 工具 实现 精确 时 钟 同 步 的 复杂 性 ， 传 输 时 延 一 般 通 过 
环 回 方式 进行 测量 ， 单 同 传输 时 延 为 往返 时 延 除 以 2。 系统 在 1518 字 市 帧 的 长 情况 下 ， 从 两 个 
方 辣 测 得 的 最 大 传输 时 延 应 不 超过 1 ms。 


S. 和 技 包 率 
技 包 率 是 指 网 络 在 70% 流 量 负 荷 的 情况 下 , 由 于 网 络 性 能 问题 造成 部 分 数据 包 无 法 被 转发 


的 比例 。 在 进行 丢 包 率 测 试 时 ， 需 按照 不 同 的 帧 长 度 〈 包 括 64、128、25$6、512、1024、1280、 
1$18 字 节 ) 分 别 进行 测量 ， 测 得 的 丢 包 率 应 符合 表 3-5 的 规定 。 


表 3-$ 和 扫 包 率 要 求 


测试 帧 长 10M 以 太 网 100M 以 太 网 1000M 以 太 网 
( 字 节 ) | 注 量 流量 负 和 肚 ”| 。 和 包 素 
了 % 


1 7 | 

7 | 0 
7 | 0 
7 | 0 


230 
312 


可 0 


口 口 属 口 口 

口 局 号 口 局 
局 
口 


707M6 
70 好 
70MA 
70M 
70M 
7076 
70M 


1024 
Do] 7 0 70 | 
18 7 | 0 


6. 链 路 层 健康 状况 
链 路 层 健 康 状 况 指标 要 求 如 表 3-6 所 示 。 
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表 3-6 链 路 层 健康 状况 指标 要 求 


技术 要 求 
测试 指标 共享 式 以 太 网 / 全 双 工 交换 式 
半 双 工交 换 式 以 太 网 以 太 网 
链 路 平均 利用 率 〈 带 宽 % ) 委 70% 
广播 素 《 央 /各 ) 3 
组 播 率 《 帧 / 秒 ) < |s4 
错误 率 〈 占 总 帧 数 % ) 入 1% 
冲突 《碰撞 ) 率 〈 占 总 帧 数 % ) 0% 


3.6.5 ”测试 报告 


测试 完成 后 最 终 应 提供 一 份 完 整 的 测试 报告 ， 测 试 报告 应 对 这 次 测试 中 的 测试 对 象 、 测 试 
工具 、 测 试 环 境 、 测 试 内 容 、 测 试 结果 等 进行 详细 论述 。 测 试 报告 是 整个 网 络 工程 情况 的 碍 阅 
资料 的 重要 组 成 部 分 ， 人 们 对 工程 满意 程度 和 对 工程 质量 的 认可 很 大 程度 上 来 源 于 这 份 报告 。 

测试 报告 的 形式 并 不 固定 ， 可 以 是 一 个 简短 的 总 结 ， 也 可 以 是 很 长 的 书面 文档 。 通 各 测试 
报告 包含 以 下 信息 : 

(1) 测试 目的 : 用 一 两 句 话 解释 本 次 测试 的 目的 。 

(2) 结论 : 从 训 试 中 得 到 的 信息 和 推荐 下 一 步 的 行动 。 

(3) 测试 结 东 总结 : 对 测试 进行 总 结 并 由 此 得 出 结论 。 

《4) 测试 内 容 和 方法 : 简单 地 描述 测试 是 怎样 进行 的 ， 应 该 包括 负载 模式 、 测 试 脚 本 和 数 
据 收 集 方 法 ， 并 且 要 解释 采取 的 汕 试 方法 怎样 保证 测试 结果 和 测试 目的 相关 ， 测 试 结果 是 否 可 
重 现 。 

(5) 测试 配置 : 网 络 测试 配置 用 图 形 表示 出 来 。 

测试 报告 包括 对 各 测试 项 目的 测试 结果 ， 应 以 数字 、 图 形 、 列 表 等 方式 记录 下 来 ， 结 论 则 
以 书面 文档 方式 叙述 。 完 整 、 客 观 的 测试 报告 是 网 络 运行 与 维护 的 重要 参考 。 


3.7 ”网络 故障 分 析 与 处 理 


网 络 环境 越 复杂 ， 发 生 故 障 的 可 能 性 就 越 大 ， 引 发 故障 的 原因 也 惑 越 难 确定 。 网 络 故障 
往往 具有 特定 的 故障 现象 。 这 些 现 象 可 能 比较 党 统 ， 也 可 能 比较 特殊 。 利 用 特定 的 故障 排除 
工具 及 技巧 ， 在 具体 的 网 络 环境 下 观察 故障 现象 ， 细 致 分 机 ， 最 终 必 然 可 以 查找 出 一 个 或 多 
个 引发 故障 的 原因 。 一 旦 能 够 确定 引发 故障 的 根源 ， 那 么 故障 都 可 以 通过 一 系列 的 步骤 得 到 
有 效 的 处 理 。 


3.7.1 网 络 故障 排除 思路 
在 排除 网 络 中 出 现 的 故障 时 ， 使 用 非 系统 化 的 方法 可 能 会 浪费 大 量 宝贵 的 时 间 及 资源 ， 事 
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倍 功 半 ， 使 用 系统 化 的 方法 往往 更 为 有 效 。 系 统 化 的 方法 流程 如 下 : 定义 特定 的 故障 现象 ， 根 
据 特 定 现象 推断 出 可 能 发 生 故 隐 的 所 有 六 在 的 问题 ， 直 到 故障 现象 不 再 出 现 为 止 。 

图 3-39 给 出 了 一 般 性 故障 问题 的 解决 模型 。 这 一 流程 并 不 是 解决 网 络 故障 时 必须 严格 遵 
守 的 步骤 ， 只 是 为 建立 特定 网 络 环境 中 的 故 了 排除 流程 提供 了 基础 。 


故障 定义 
建立 行动 计划 
天 


现象 持续 


重复 进程 


问题 被 解决 ,终止 进程 


图 3-39 ”一 般 性 故障 问题 的 解决 模型 


一 般 性 故障 问题 的 解决 步骤 如 下 : 

《1) 分 析 网 络 故障 时 ， 要 对 网 络 故障 有 清晰 的 描述 ， 并 根据 故障 的 一 系列 现象 以 及 洪 在 的 
证 络 来 对 其 进行 准确 的 定义 。 

要 想 对 网 络 故障 做 出 准确 的 分 析 ,， 首 先 应 该 了 解 故障 表现 出 来 的 各 种 现象 ,然后 确定 可 能 会 
产生 这 些 现象 的 故障 根源 或 现象 。 例 如 , 主机 没有 对 客户 机 的 服务 请 求 做 出 啊 应 (一 种 故障 现象 )， 
可 能 产生 这 一 现象 的 原因 主要 包括 主机 配置 错误 、 网 络 接口 卡 损 坏 或 路 由 口 配置 不 正确 等 。 

(2) 收集 有 助 于 确定 故障 症结 的 各 种 信息 。 回 受 故 障 影 啊 的 用 户 、 网 络 管 理 员 、 经 理 及 其 
他 关键 人 员 询 问 详细 的 情况 。 从 网 络 管理 系统 、 协 议 分 析 仪 的 跟 踩 记录 、 路 由 器 诊断 命令 的 输 
出 信息 以 及 软件 发 行 注释 信息 等 信息 源 中 收集 有 用 的 信息 。 

(3) 依据 所 收集 到 的 各 种 信息 考虑 可 能 引发 故 隐 的 症结 。 利 用 所 收集 到 的 这 些 信息 可 以 排 
除 一 些 可 能 引发 故 隐 的 原因 。 例 如 ， 根 据 收集 到 的 信息 也 许可 以 排除 便 件 出 现 问题 的 可 能 性 ， 
于 是 就 可 以 把 关注 的 焦点 放 在 软件 问题 上 。 应 该 充分 利用 每 一 条 有 用 的 信息 ， 尽 可 能 有 小 目标 
范围 ， 从 而 制定 出 高 效 的 故障 排除 方法 。 

《4) 根据 剩余 的 洪 在 症结 制订 故障 的 排查 计划 。 从 最 有 可 能 的 症结 入 手 ， 每 次 只 做 一 处 改 
动 。 之 所 以 每 次 只 做 一 处 改动 ， 是 因为 这 样 有 助 于 确定 针对 固定 故障 的 排除 方法 。 如 果 同 时 做 
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了 两 处 或 多 处 改动 ， 也 许 能 排除 故障 ， 但 是 难以 确定 到 确 是 哪些 改动 消除 了 故障 现象 ， 而 且 对 
日 后 解决 同样 的 故障 也 没有 太 大 的 帮助 。 

(5) 实施 制订 好 的 故障 排除 计划 ， 认 真 执行 每 一 步 又， 同时 进行 测试 ， 查 看 相应 的 现象 是 
侣 消失 。 

(6) 当做 出 一 处 改动 时 ， 要 注意 收集 相应 操作 的 反馈 信息 。 通 营 ， 应 该 采用 在 步骤 〈2) 
中 使 用 的 方法 《利用 诊断 工具 并 与 相关 人 员 密 切 配合 ) 进行 信息 的 收集 工作 。 

《7) 分 析 相 应 操作 的 结果 ， 并 确定 故障 是 否 已 被 排除 。 如 果 故 障 已 被 排 除 ， 那 么 整个 流程 
到 此 结束 。 

(8) 如 果 故 障 依然 存在 ， 就 得 针对 剩余 的 潜在 症结 中 最 可 能 的 一 个 制订 相应 的 故障 排除 计 
划 。 回 到 步骤 《4) ， 依 旧 每 次 只 做 一 处 改动 ， 重 复 此 过 程 ， 直 到 故障 被 排除 为 止 。 

如 有 果 能 提前 为 网 络 故 障 做 好 准备 工作 ， 那 么 网 络 故 障 的 排除 也 就 变 得 比较 容易 了 。 对 于 
各 种 网 络 环境 来 说 ， 最 为 重要 的 是 保证 网 络 维护 人 员 总 能 够 获得 有 关 网 络 当 前 情况 的 准确 信 
县 。 只 有 利用 完整 、 准 确 的 信息 才能 够 对 网 络 的 变动 做 出 明智 的 决策 ， 才 能 够 尽快 、 尽 可 能 
简单 地 排除 故障 。 因 此 ， 在 网 络 故 障 的 排除 过 程 中 ， 最 为 关键 的 是 确保 当前 营 握 的 信息 及 资 
料 是 最 新 的 。 

对 于 每 个 已 经 解决 的 问题 ， 一 定 要 记录 其 故障 现象 以 及 相应 的 解决 方案 。 这 样 ， 残 可 以 建 
YY 一 个 问题 /回答 数据 库 ， 今 后 发 生 类 似 的 情况 时 ， 公 司 里 的 其 他 人 员 也 能 参考 这 些 案例 ， 从 而 
极 大 地 降低 对 网 络 进行 故障 排除 的 时 间 ， 最 小 化 对 业务 的 负面 影 啊 。 


3.7.2 网络 故 障 排除 工具 


排除 网 络 故障 的 利用 工具 有 多 种 ， 总 的 来 说 可 以 分 为 三 类 : 设备 或 系统 诊断 命令 、 网 络 管 
理工 具 以 及 专用 故障 排除 工具 。 


1. 设备 或 系统 诊断 命令 


许多 网 络 设备 及 系统 本 喘 驶 提 供 大 量 的 集成 命令 来 帮助 监视 并 对 网 络 进行 故障 排除 。 下 面 
介绍 一 些 帝 用 命令 的 基本 用 法 : 

e。 Show 可 以 用 于 监测 系统 的 安装 情况 与 网 络 的 正常 运行 状况 , 也 可 以 用 于 对 故障 区 域 的 
定位 。 

e。 debug 命令 帮助 分 离 协议 和 配置 问题 。 

e。 ping 命令 用 于 检测 网 络 上 不 同 设 备 之 间 的 连通 性 。 

e。 trace 命令 可 以 用 于 确定 数据 包 在 从 一 个 设备 到 另 一 设备 直至 目的 地 的 过 程 中 所 经 过 
的 路 径 。 


2. 网 络 管理 工具 
一 些 广 商 推出 的 网 络 管理 工具 如 Cisco Works、HP OpenView 等 都 含有 监测 以 及 故障 排除 
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功能 ， 这 有 助 于 对 网 络 互 连环 境 的 管理 和 故 隐 的 及 时 排除 。 下 面 以 Cisco Works 2000 为 例 介 绍 
网 络 管理 工具 在 排除 网 络 故障 方面 的 主要 功能 : 
e。 Cisco View 提供 动态 监视 和 故 隐 排除 功能 ， 包 括 Cisco 设备 、 统 计 信 息 和 综合 配置 信 
县 的 图 形 显 示 。 
e 网 络 性 能 监视 器 〈Internetwork Performance Monitor，IPM) 使 网 络 工 程 师 能 够 利用 实 
时 和 历史 报告 主动 地 对 网 络 啊 应 进行 故障 诊断 与 排除 。 
e。 TrafficDirector RMON 应 用 程序 是 一 个 远程 监测 工具 ， 它 能 够 收集 数据 、 监 测 网 络 活 
动 并 得 找 淤 在 的 问题 。 
eVlanDirector 交换 机 管理 应 用 程序 是 一 个 针对 VLAN 〈 虚 拟 局 域 网 ) 的 管理 工具 ， 它 
能 够 提供 对 VLAN 的 精确 描绘 。 


3. 专用 故障 排除 工具 


在 许多 情况 下 专用 故障 排除 工具 可 能 比 设备 或 系统 中 集成 的 命令 更 有 效 。 例 如 ， 在 网 络 通 
言 负载 繁重 的 环境 中 ， 运 行 需 要 占用 大 量 处 理 器 时 间 的 debug 命令 将 会 对 整个 网 络 造成 巨大 影 
响 。 然 而 ， 如 果 在 “可 疑 ” 的 网 络 上 接 入 一 台 网 络 分 析 仪 ， 就 可 以 尽 可 能 少 地 干扰 网 络 的 正常 
工作 ， 并 且 很 有 可 能 在 不 打 断 网 络 正常 工作 的 情况 下 获取 到 有 用 的 信息 。 以 下 为 一 些 典 型 的 用 
于 排除 网 络 故障 的 专用 工具 : 
e。 ”欧姆 表 、 数 字 万 用 表 及 电费 测试 器 可 以 用 于 检测 电缆 设备 的 物理 连通 性 。 
e。 时 域 反 射 计 (Time Domain Reflectors，TDR) 与 光 时 域 反 射 计 Optical Time Domain 
Reflectors，OTDR) 可 以 用 于 测定 电费 断裂 、 阻 抗 不 匹配 以 及 电费 设备 其 他 物理 故障 
的 具体 位 置 。 
e。 有 断 接 盒 〈Breakout Boxes) 、 智 能 测试 盘 和 BERT / BLERT 可 以 用 于 外 围 接 口 的 故障 
排除 。 
e。 网 络 监测 堪 通 过 持续 跟 踩 穿越 网 络 的 数据 包 ， 能 每 陋 一 段 时 间 提 供 网 络 活动 的 准确 
图 像 。 
e。 网 络 分 析 仪 〈 例 如 ，NAI 公司 的 Sniffsr) 可 以 对 OSI 所 有 7 层 上 出 现 的 问题 进行 解码 ， 
自动 实时 地 发 现 问题 , 对 网 络 活动 进行 清晰 的 描述 , 并 根据 问题 的 严重 性 对 故障 进行 分 类 。 


3.7.3 ”常见 的 网 络 故 障 


在 信息 化 社会 ， 各 企 事 业 单 位 对 网 络 的 依赖 程度 越 来 越 高， 网 络 随时 都 可 能 发 生 故 障 ， 影 
响 正 常 工 作 。 所 以 ， 必 须 掌 握 相应 的 技术 及 时 排除 故障 。 有 些 单位 如 电信 、 电 子 商务 公司 、 庆 
戏 运营 商 等 使 用 的 网 络 一 旦 发 生 故障 ， 若 不 能 及 时 排除 ， 会 产生 很 大 的 损失 。 这 些 单位 一 般 会 
安装 网 络 故 障 处 理 软件 ， 通 过 软件 来 管理 和 排除 网 络 的 故障 。 从 网 络 故障 本 喘 来 说 ， 经 滑 会 遇 
到 的 故障 有 : 

e。 物理 层 故 障 ; 
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e。 ”数据 链 路 层 故障 ; 

@ 以 太 网 络 故障 ; 

e。 广域网 络 故 障 ; 

e。 TCP/P 故障 : 

e。 服务 器 故障 ; 

e。 其 他 业务 故障 等 。 

根据 相关 资料 的 统计 ， 网 络 发 生 故 障 的 具体 分 布 为 : 
e。 应 用 属 占 3%0; 

e。 ”表示 层 占 7%; 

e。 会话 层 占 8%; 

。 ”传输 层 鼎 10%; 

e。 网 络 层 占 12%0; 

。 数据 链 路 层 鼎 25%; 

。 物理 层 占 35%。 

引起 网 络 故障 的 原因 有 以 下 几 种 。 


1. 逻辑 故障 


逻辑 故障 中 最 各 见 的 情况 有 两 类 : 一 类 是 配置 错误 ， 是 因为 网 络 设 备 的 配置 错误 而 导致 的 
网 络 异 党 或 故 阶 。 配 置 错误 可 能 是 路 由 需 问 口 参数 设 定 有 误 ， 或 路 由 吉 的 路 由 配置 错误 ， 以 全 
于 路 由 循环 找 不 到 远 端 地 址 ， 或 者 是 路 由 掩 码 设置 错误 等 ， 尺 一 类 是 一 些 重要 进程 或 喘 口 被 关 
闭 ， 主 要 是 系统 的 负载 过 高 ， 路 由 髓 的 负载 过 高 。 


2. 配置 故障 


配置 错误 也 是 导致 故障 发 生 的 重要 原因 之 一 。 配 置 故 障 主 要 表现 在 不 能 实现 网 络 所 提供 的 各 
种 服务 ， 如 不 能 接 入 Internet， 不 能 访问 茶 种 代理 服务 器 等 。 配 置 故 隐 通 各 表现 为 以 下 几 种 情况 : 

e。 网 络 链 路 测试 正 贡 ， 却 无 法 连接 到 网 络 ; 

。 只 能 与 茶 些 计算 机 ， 而 不 能 与 全 部 计算 机 进行 通信 

e。 计算 机 只 能 访问 内 部 网 络 中 的 服务 器 , 但 无 法 接 入 Internet, 这 可 能 是 路 由 吉 配 置 错 误 ， 

也 可 能 是 交换 机 配置 错误 
e。 计算 机 无 法 登录 至 域 控 制 右 ; 
。 计算 机 无 法 访问 任何 其 他 设备 。 


3. 网 络 故障 
网 络 故障 的 原因 是 多 方面 的 ， 一 般 分 为 物理 故障 和 逻辑 故障 。 物 理 故 障 ， 又 称 硬 件 故 障 ， 
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包括 线路 、 线 缆 、 连 接 器 件 、 端 口 、 网 卡 、 网 桥 、 人 集线器、 交换机 或 路 由 器 的 模块 出 现 故障 。 
4. 协议 故障 


计算 机 和 网 络 设备 之 间 的 通信 是 靠 协议 来 实现 的 ， 协 议 在 网 络 中 扮演 着 非常 重要 的 角色 。 
协议 故障 通 钊 表现 为 以 下 几 种 情况 : 


计算 机 无 法 登录 至 服务 器 ; 

计算 机 在 网 上 邻居 中 既 看 不 到 自己 ， 也 看 不 到 其 他 计算 机 或 查找 不 到 其 他 计算 机 ; 
计算 机 在 网 上 邻居 中 能 看 到 自己 和 其 他 计算 机 ， 但 无 法 在 局 域 网 络 中 浏览 Web、 收 发 
E-mall; 

计算 机 无 法 通过 局 域 网 接 入 Internet; 

与 网 络 中 其 他 计算 机 的 名 称 重 复 ， 或 者 与 其 他 计算 机 使 用 的 瑟 地 址 相同 。 


S. DDos 攻击 


由 于 遭受 DDos 攻击 引起 的 网 络 资源 不 可 用 。 
6. 网 络 管理 员 差 错 


网 络 管理 员 差 错 占 整个 网 络 故 障 的 5% 以 上 ， 主 要 发 生 在 网 络 层 和 传输 层 ， 是 由 于 安装 没 
有 完全 遵守 操作 指南 ， 或 者 网 络 管理 员 对 茶 个 处 理 过 程 没 有 给 予 足够 的 重视 造成 的 。 


7. 海量 存储 问题 


数据 处 理 故 障 的 最 主要 原因 是 便 盘 问题 ， 据 有 关 报 道 ， 有 超过 26% 的 系统 失效 都 归结 到 瘤 
量 存 储 的 介质 故障 。 


8. 计算 机 硬件 故障 


大 约 有 25% 的 故障 是 由 计算 机 硬件 引起 的 ， 如 显示 器 、 键 盘 、 鼠 标 、CPU、RAM、 人 硬盘 驱 
动 器 、 网 卡 、 交 换 机 和 路 由 噩 等 。 


9. 软件 问题 


软件 引起 的 故障 也 不 鲜 见 ， 表 现 为 : 


软件 有 缺陷 ， 造 成 系统 故障 ; 
网 络 操作 系统 缺陷 ， 造 成 系统 失效 。 


10. 使 用 者 发 生 的 差错 
使 用 者 没有 遵守 网 络 赋予 的 权限 。 例 如 : 


超 权 访 问 系统 和 服务 ; 
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。 传 入 其 他 系统 ; 

。 操作 其 他 用 户 的 数据 资料 ; 
e。 ”共享 账号 ; 

e。 非法 复制 。 


3.7.4 ”网络 故 障 分 层 诊 断 


网 络 故障 诊断 是 党 好、 用 好 网 络 ， 使 网 络 发 挥 最 大 作用 的 重要 技术 工作 。 网 络 故障 诊断 是 
从 故障 现象 出 发 ， 以 网 络 诊断 工具 为 手段 获取 诊断 信息 ， 确 定 网 络 故障 点 ， 碍 找 问 题 的 根源 ， 
排除 故障 ， 恢 复 网 络 的 正 钊 运行 。 

诊断 网 络 故 障 的 过 程 应 沿 看 OSI 七 层 模型 从 物理 层 开 始 同上 进行 。 衣 先 检 查 物 理 层 ， 然 后 
检查 数据 链 路 层 ， 以 此 类 推 ， 确 定 故 隐 点。 故障 诊断 的 步骤 如 下 : 

(1) 确定 故障 的 具体 现象 ， 分 析 造 成 这 种 故障 现象 的 原因 。 例 如 ， 主 机 不 啊 应 客户 请 求 服 
务 ， 可 能 的 故障 原因 是 主机 配置 问题 、 接 口 卡 故 隐 或 路 由 吉 命 令 丢 失 等 。 

《2) 收集 需要 的 用 于 帮助 确定 可 能 故障 原因 的 信息 。 从 网 络 管理 系统 、 协 议 分 析 仪 的 跟踪 
记录 、 路 由 器 诊断 命令 的 输出 报告 或 软件 说 明 书 中 收集 有 用 的 信息 。 

《3) 根据 收集 到 的 情况 考虑 可 能 的 故障 原因 ， 排 除 茶 些 故障 原因 。 例 如 ， 根 据 茶 些 资 料 可 
以 排除 便 件 故障 ， 把 注意 力 放 在 软件 原因 上 。 

《4) 根据 最 后 的 可 能 故障 原因 ， 建 立 一 个 诊断 计划 。 开 始 仅 用 一 个 最 可 能 的 故 隐 诛 因 进行 
诊断 活动 ， 这 样 更 容易 恢复 到 故障 的 原始 状态 。 如 果 一 次 同时 考虑 多 个 故障 原因 ， 返 回 故障 原 
始 状态 束 困 难 多 了 。 

(5) 执行 诊断 计划 ， 认 真 做 好 每 一 步 的 测试 和 观察 ， 每 改变 一 个 参数 都 要 确认 其 结果 。 分 
析 结 果 ， 确 定 问题 是 否 解决 ， 如 果 没 有 解决 ， 继 续 下 去 ， 直 到 故 隐现 象 消失 。 


1. 物理 层 及 其 诊断 


物理 层 是 OSI 分 层 结构 体系 中 最 基础 的 一 层 ， 它 建立 在 通信 媒体 的 基础 上 ， 实 现 系统 和 通 
信和 媒体 的 物理 接口 ， 为 数据 链 路 实体 之 间 进 行 透明 传输 ， 为 建立 、 保 持 和 拆除 计算 机 和 网 络 之 
间 的 物理 连接 提供 服务 。 

物理 层 的 故障 主要 表现 在 设备 的 物理 连接 方式 是 否 恰 当 ; 连接 电费 是 否 正确 。 确 定 路 由 器 
端口 物理 连接 是 否 完好 的 最 佳 方法 是 使 用 Show Interface 命令 ， 检 碍 每 个 疹 口 的 状态 ， 解 释 屏 
幕 输出 信息 ， 查 看 端口 状态 、 协 议 建立 状态 和 EIA 状态 。 


2. 数据 链 路 层 及 其 诊断 
数据 链 路 层 的 主要 任务 是 使 网 络 层 无 顷 了 解 物 理 层 的 特征 而 获得 可 靠 的 传输 。 数 据 链 路 层 


具有 为 通过 链 路 层 的 数据 进行 打包 和 解 包 、 差 错 检测 和 一 定 的 校正 能 力 ， 并 协调 共 孚 介质 。 在 
数据 链 路 层 交 换 数 据 之 前 ， 协 议 关 注 的 是 形成 帧 和 同步 设备 。 碍 找 和 排除 数据 链 路 层 的 故 隐 ， 


第 3 章 ”网络 规划 与 设计 _ 国 四 2o7 国 


需要 查看 路 由 器 的 配置 ， 检 查 连 接 端口 的 共享 同一 数据 链 路 层 的 封装 情况 。 每 对 接口 要 和 与 其 
通信 的 其 他 设备 有 相同 的 封装 。 通 过 查看 路 由 需 的 配置 检查 其 封装 ， 或 者 使 用 show 命令 查看 
相应 接口 的 封装 情况 。 


3. 网 络 层 及 其 诊断 


网 络 层 提供 建立 、 保 持 和 释放 网 络 层 连接 的 手段 ， 包 括 路 由 选择 、 流 量 控制 、 传 输 确认 、 
中 断 、 差 错 及 故障 恢复 等 。 排 除 网 络 层 故障 的 基本 方法 是 : 沿 着 从 源 到 目标 的 路 径 ， 查 看 路 由 
天 路 由 表 ， 同 时 检查 路 由 器 接口 的 卫 地 址 。 如 宋 路 由 没有 在 路 由 表 中 出 现 ， 应 该 通过 检查 来 确 
定 是 否 已 经 输入 适当 的 静态 路 由 、 默 认 路 由 或 者 动态 路 由 。 然 后 手工 配置 一 些 丢 失 的 路 由 ， 或 
者 排除 一 些 动态 路 由 选择 过 程 的 故障 ， 包 括 RIP 或 者 IGRP 路 由 协议 出 现 的 故障 。 例 如 ， 对 于 
IGRP 路 由 选择 信息 只 在 同一 自治 系统 号 (AS) 的 系统 之 间 交 换 数据 ， 查 看 路 由 器 配置 的 自治 
系统 号 的 匹配 情况 。 


4. 应 用 层 及 其 诊断 


应 用 层 提供 最 终 用 户 服 务 ， 如 文件 传输 、 电 子 信 息 、 电 子 邮件 和 虚拟 终端 接 入 等 。 排 除 应 
用 层 故 障 的 基本 方法 是 : 首先 可 在 服务 器 上 检查 配置 ， 测 试 服务 器 是 否 正常 运行 ， 如 果 服 务 器 
没有 问题 ， 再 检查 应 用 客户 端 是 否 正 确 配 置 。 


3.8 网 络 性 能 管理 


3.8.1 网 络 性 能 及 指标 概述 


网 络 性 能 管理 (Network Performance Management) 是 指 评价 系统 资源 的 运行 状况 及 通信 效 
率 等 系统 性 能 。 网 络 性 能 管理 的 目的 是 维护 网 络 服 务 质量 QoS) 和 网 络 运营 效 率 。 其 能 力 包 
括 监 视 和 分 析 被 管 网 络 及 其 所 提供 服务 的 性 能 机 制 ， 性 能 管理 收集 分 析 有 关 被 管 网 络 当前 状况 
的 数据 信息 并 维持 和 分 析 性 能 日 志 ， 性 能 分 析 的 结果 可 能 会 触发 某 个 诊断 测试 过 程 或 重新 配置 
网 络 以 维持 网 络 的 性 能 。 


1. 网 络 性 能 管理 的 功能 


网 络 性 能 管理 的 功能 包括 以 下 几 个 方面 。 

1) 性 能 监控 

性 能 监控 是 对 网 络 工 作 状态 信息 的 收集 和 整理 ， 是 网 络 监 视 中 最 主要 的 部 分 ， 由 用 户 定 义 
被 管 对 象 及 其 属性 。 补 管 对 象 类 型 包括 线路 和 路 由 器 ; 被 管 对 象 属性 包括 流量 、 延 迟 、 丢 包 率 、 
CPU 利用 率 、 温 度 、 内 存 余 量 。 对 于 每 个 被 管 对 象 ， 定 时 采集 性 能 数据 ， 和 上 自 动 生成 性 能 报告 。 

2) 浆 值 控制 

可 对 每 一 个 被 管 对 象 的 每 一 条 属性 设置 闪 值 ， 对 于 特定 被 管 对 象 的 特定 属性 ， 可 以 针对 不 
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同 的 时 间 段 和 性 能 指标 进行 浆 值 设置 。 可 通过 设置 阀 值 检 查 开 关 控 制 装 值 检查 和 告警 ， 提 供 相 
应 的 半 值 管理 和 溢出 告警 机 制 。 

3) 性 能 分 析 

对 历史 数据 进行 分 析 、 统 计 和 整理 ， 计 算 性 能 指标 ， 对 性 能 状况 做 出 判断 ， 为 网 络 规划 提 


4) 可 视 化 的 性 能 报告 

对 数据 进行 扫描 和 处 理 ， 生 成 性 能 趋势 曲线 ， 以 直观 的 图 形 反 映 性 能 分 析 的 结果 。 

5) 实时 性 能 监控 

提供 了 一 系列 实时 数据 采集 、 分 析 和 可 视 化 工具 ， 用 以 对 流量 、 负 载 、 丢 包 率 、 温 度 、 内 
存 、 延 迟 等 网 络 设 备 和 线路 的 性 能 指标 进行 实时 检测 ， 可 任意 设置 数据 采集 间隔 。 


2. 网 络 性 能 管理 的 工具 


网 络 性 能 管理 工具 主要 包括 以 下 几 种 。 

1) 网 络 性 能 分 析 测 试 工 具 一 一 SmartBits 

SmartBits 网 络 性 能 分 析 系 统 为 十 兆 、 百 兆 、 王 兆 和 万 兆 以 太 网 、AIM、 了 POS、 光 纤 通 道 、 
帧 中 继 网 络 的 性 能 测试 ， 以 及 网 络 设备 的 高 端口 密度 测试 提供 了 行业 标准 。 

作为 一 种 强健 而 通用 的 平台 ，SmartBits 提供 了 测试 xDSL、 电 缆 调 制 解 调 器 、 IP QoS、 
VoIP、MPLS、IP 多 播 、TCPP、IPv6、 路 由 、SAN 和 VPN 的 测试 应 用 。 

SmartBits 使 用 户 可 以 测试 、 仿 真 、 分 析 、 开 发 和 验证 网 络 基 础 设施 并 查找 故障 。 从 网 络 最 
初 的 设计 到 对 最 终 网 络 的 测试 ，SmartBits 提供 了 产品 生命 周期 各 个 阶段 的 分 析 解 决 方案 。 

SmartBits 产品 线 包 括 便携 和 高 密度 机 架 ， 文 持 不 同 技术 、 协 议和 接口 的 模块 ， 以 及 软件 应 
用 程序 和 脚本 。 旗 舰 级 SMB-6000B 在 一 个 机 架 中 最 多 可 支持 96 个 10/100 Mbits 以 太 网 端口 、 
24 个 千 兆 以 太 网 端口 、6 个 万 兆 以 太 网 端口 、24 个 光纤 通道 端口 、24POS 端口 或 上 述 端 口 的 任 
意 组 合 。 

2) 网 络 流量 检测 工具 一 一 MRTG 

MRTG (Multi Router Traffic Grapher) 是 一 个 监控 网 络 链 路 流量 负载 的 工具 软件 ， 它 通过 
SNMP 协议 从 一 个 设备 得 到 另 一 个 设备 的 流量 信息 ， 并 将 流量 负载 以 包含 PNG 格式 的 图 形 
HTML 文档 方式 显示 给 用 户 ， 以 非常 直观 的 形式 显示 流量 负载 。 

作为 目前 最 为 通用 的 网 络 流量 监控 软件 ，MRTG 具有 以 下 特点 : 

e。 可 移植 性 ; 

@ 源码 开放 ; 

e。 高 可 移植 性 的 SNMP 文 持 ; 

e 支持 SNMPv2c; 

e 可 靠 的 接口 标识 ; 

e。 第 量 大 小 的 日 志文 件 ; 
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e。 目 动 配置 功能 ; 

e。 PNG 格式 图 形 ; 

e。 可 定制 性 。 

3) 网 络 性 能 测试 工具 一 一 Netperf 

Netperf 可 以 测试 服务 器 网 络 性 能 ， 主 要 针对 基于 TCP 或 UDP 的 传输 。Netperf 根据 应 用 
的 不 同 ， 可 以 进行 不 同 模式 的 网 络 性 能 测试 ， 即 批量 数据 传输 〈Bulk Data Transfer) 模式 和 请 
求 /应 答 〈RequesVResponse) 模式 。Netperf 测试 结果 所 反映 的 是 一 个 系统 能 够 以 多 快 的 速度 加 
另外 一 个 系统 发 送 数据 ， 以 及 另外 一 个 系统 能 够 以 多 快 的 速度 接收 数据 。 

Netperf 工具 以 ClientServer 方式 工作 。Server 端 是 Netserver， 用 来 侦 听 来 自 Client 端的 连 
接 ，Client 端 是 Netperf， 用 来 向 Server 发 起 网 络 测试 。 在 Client 与 Server 之 间 ， 首 先 建立 一 个 
控制 连接 ， 传 递 有 关 测 试 配置 的 信息 ， 以 及 测试 的 结果 ; 在 控制 连接 建立 并 传递 了 测试 配置 信 
县 以 后 ，Client 与 Server 之 间 会 再 建立 一 个 测试 连接 ， 用 来 传递 特殊 的 流量 模式 ， 以 测试 网 络 
的 性 能 。 


3. 网 络 性 能 指标 


除了 在 3.2.3 小 节 中 所 述 的 网 络 技术 指标 外 ， 还 需 关 注 的 网 络 性 能 指标 如 下 。 

1) 分 组 转发 率 

单位 时 间 内 转发 的 数据 分 组 的 数量 。 路 由 堪 的 分 组 转发 率 ， 也 称 端口 吞吐 量 ， 是 指 路 由 器 在 
某 端 口 进 行 数据 分 组 转发 的 能 力 ， 单 位 通常 使 用 pps《〈 分 组 每 秒 ) 来 衡量 。 一 般 来 讲 ， 低 闯 的 路 
由 器 分 组 转发 率 只 有 几 千 分 组 每 秒 〈(kpps) 到 几 十 千 分 组 每 秒 (kpps) ， 而 高 端的 路 由 堪 则 能 
到 几 十 兆 分 组 每 秒 (MPpps) 〈 百 万 分 组 每 秒 ) 甚至 上 百 兆 分 组 每 秒 (Mpps) 。 如 果 是 小 型 办 公 
使 用 ， 则 选 购 转发 速率 较 低 的 低 端 路 由 器 即 可 ; 如 果 是 大 中 型 企业 部 门 应 用 ， 就 要 严格 看 符 这 
个 指标 ， 建 议 性 能 越 高 越 好 。 

2) 信道 利用 率 

一 段 时 间 内 信道 为 占用 状态 的 时 间 与 总 时 间 的 比值 。 信 道 利用 率 并 非 越 高 越 好 。 这 是 因为 ， 
根据 排队 的 理论 ， 当 某 信道 的 利用 率 增 大 时 ， 该 信道 引起 的 时 延 也 束 迅 速 增 加 。 

如 果 Do 表示 网 络 空闲 时 的 时 延 ，D 表示 当前 网 络 时 延 ， 可 以 用 简单 公式 D=DYw (1-U) 来 
表示 D、Du 和 利用 率 U 之 间 的 关系 。U 的 值 为 0~1。 当 网 络 的 利用 率 接近 最 大 值 1 时， 网络 的 
时 延 就 趋 近 于 无 穷 大 。 

3) 信道 容量 

信道 的 极限 带宽 。 信 道 能 无 错误 传送 的 最 大 信息 率 。 对 于 只 有 1 个 信 源 和 1 个 信 宿 的 单 用 
户 信道 ， 它 是 一 个 数 ， 单 位 是 比特 / 秒 或 比特 /符号 。 它 代表 每 秒 或 每 个 信道 符号 能 传送 的 最 大 
信息 量 ， 或 者 说 小 于 这 个 数 的 信息 率 必 能 在 此 信道 中 无 错误 地 传送 。 对 于 多 用 户 信道 ， 当 信 源 
和 信 宿 都 是 2 个 时 ,， 它 是 平面 上 的 一 条 封闭 线 。 坐 标 R1 和 R2 分 别 是 2 个 信 源 所 能 传送 的 信息 
率 ， 也 就 是 R1 和 R2 落 在 这 条 封闭 线 内 部 时 能 无 错误 地 被 传送 。 当 有 m 个 信 源 和 信 宿 时 ， 信 
道 容 量 将 是 m 维 空间 中 一 个 凸 区 域 的 外 界 “ 面 ”。 
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4) 带宽 利用 率 

实际 使 用 的 带宽 与 信道 容量 的 比率 。 带 宽 利 用 率 可 以 表示 网 络 的 流量 情况 、 繁 忙 程度 ， 它 
是 衡量 网 络 状况 的 最 基本 参数 。 带 宽 利用 率 的 计算 公式 通常 为 

加 ”网络 总 流量 
向 宽 和 省 计 一 邓 论 带 需 色 时 间 

利用 率 实际 上 是 一 个 时 间 段 的 概念 ， 所 以 在 分 析 的 时 候 ， 时 间 段 的 选择 相当 重要 。 不 同 的 分 
析 需 求 ， 时 间 段 的 确定 是 不 一 样 的 : 分 析 突 发 流量 ， 时 间 越 短 越 好 ; 分 析 流量 趋势 ， 时 间 应 延长 。 

$) 分 组 丢失 

在 一 段 时 间 内 网 络 传输 及 处 理 中 丢失 或 出 错 的 数据 分 组 的 数量 。 数 据 在 Internet 上 是 以 数 
据 分 组 为 单位 传输 的 ， 每 分 组 大 小 一 定 ， 不 多 也 不 少 。 这 就 是 说 ， 不 管 网 络 线路 有 多 好 、 网 络 
设备 性 能 多 高 ， 数 据 都 不 会 是 以 线性 〈 就 像 打 电话 一 样 ) 传输 的 ， 中 间 总 是 有 空洞 的 。 数 据 分 
组 的 传输 不 可 能 百分之百 完成 ， 因 为 种 种 原因 ， 总 会 有 一 定 的 损失 。 碰 到 这 种 情况 ，Internet 
会 自动 让 双方 的 计算 机 根据 协议 来 补 分 组 和 重 传 该 分 组 。 如 果 网 络 线路 好 、 速 度 快 ， 分 组 的 损 
失 会 非常 小 ， 补 分 组 和 重 传 的 工作 也 相对 较 易 完成 ， 因 此 可 以 近似 地 将 所 传输 的 数据 看 作 是 无 
损 的 。 但 是 ， 如 果 网 络 线路 较 差 ， 数 据 的 损失 量 就 会 非常 大 ， 补 分 组 工作 又 不 是 完全 完成 的 。 
在 这 种 情况 下 ， 数 据 的 传输 就 会 出 现 空洞 ， 造 成 分 组 丢失 。 

6) 分 组 损失 率 

在 某 时 段 内 在 两 点 间 传 输 中 丢失 的 分 组 与 总 的 分 组 发 送 量 的 比率 。 这 个 指标 是 反映 网 络 状 
况 最 为 直接 的 指标 ， 无 拥塞 时 路 径 分 组 丢失 率 为 0， 轻 度 拥 塞 时 分 组 丢失 率 为 1%~4%， 严 重 拥 
塞 时 分 组 丢失 率 为 5%~15%。 一 般 来 讲 ， 分 组 丢失 的 主要 原因 是 路 由 器 的 缓存 队列 溢出 。 与 分 
组 丢失 率 相关 的 一 个 指标 是 “差错 率 ”( 误 码 率 ) ， 但 是 这 个 值 通常 极 小 。 


3.8.2 网络 性 能 测试 类 型 与 方法 


1. 网 络 性 能 测试 的 类 型 


网 络 性 能 测试 的 目的 是 在 不 同 的 负载 条 件 下 监视 和 报告 网 络 的 行为 。 这 些 数据 将 用 来 分 析 
网 络 的 运行 状态 ， 并 根据 对 额外 负载 的 期 望 值 安排 后 续 的 发 展 。 根 据 所 需要 的 容量 和 网 络 当前 
的 性 能 ， 还 可 以 计算 与 今后 项 目的 发 展 计 划 有 关 的 成 本 。 网 络 性 能 测试 分 为 以 下 几 个 类 别 。 

1) 负载 测试 

负载 测试 可 以 理解 为 确定 所 要 测试 的 业务 或 系统 的 负载 范围 ， 然 后 对 其 进行 测试 。 负 载 测 
试 的 主要 目的 是 验证 业务 或 系统 在 给 定 的 负载 条 件 下 的 处 理性 能 。 负 载 测试 还 需要 关注 啊 应 时 
间 、TPS 和 其 他 相关 指标 。 

2) 压力 测试 

压力 测试 可 以 理解 为 没有 预期 的 性 能 指标 ， 不 断 地 加 压 ， 测 试 系统 衣 溃 的 门限 值 ， 以 此 来 
确定 系统 的 瓶颈 或 者 不 能 接受 的 性 能 拐点 ， 以 获得 系统 的 最 佳 并 发 数 、 最 大 并 发 数 。 压 力 测 试 
可 以 看 作 负载 测试 的 一 种 ， 即 高 负载 下 的 负载 测试 。 
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3) 稳定 性 测试 

稳定 性 测试 就 是 长 时 间 运 行 ， 在 这 段 时 间 内 观察 系统 的 出 错 概率 、 性 能 变化 趋势 等 ， 以 期 
大 大 减少 系统 上 线 后 的 骨 溃 等 现象 。 一 般 持 续 的 时 间 为 NX24 小 时 。 稳 定性 测试 注意 事项 如 下 : 

e。 一般 稳定 性 测试 需要 在 系统 成 型 后 进行 ， 并 且 没 有 严重 缺陷 存在 ; 

e。 场景 的 设计 以 模拟 真实 用 户 的 实际 操作 为 佳 。 

4) 基准 测试 

基准 测试 是 一 种 衡量 和 评估 软件 性 能 指标 的 活动 。 可 以 在 某 个 时 候 通过 基准 测试 建立 一 个 
己 知 的 性 能 水 平 〈 称 为 基准 线 ) ， 当 系统 的 软 硬 件 环境 发 生变 化 后 再 进行 一 次 基准 测试 ， 以 确 
定 哪些 变化 对 性 能 有 影响 。 与 基准 测试 相关 的 配置 如 下 : 

e。 服务 器 人 硬件 和 服务 器 数量 ; 

e。 数据库 大 小 ; 

e。 测试 客户 机 在 网 络 中 的 位 置 ; 

e。 两 种 影响 负载 的 因素 : SSL 与 非 SSL， 图 像 检索 。 


2. 测试 方法 


1) 客户 机 

这 个 系统 用 于 模拟 多 个 用 户 访问 网 络 ， 通 党 通过 负载 测试 工具 进行 测试 ， 可 以 使 用 测试 参 
数 〈 如 用 户 数量 ) 进行 配置 ， 从 而 得 到 啊 应 时 间 的 测试 结果 “〈 最 少 /最 多 /平均 ) 。 负 载 测试 工 
有 具 可 以 模拟 处 于 不 同 层 的 用 户 ， 从 而 有 效 地 跟踪 和 报告 啊 应 时 间 。 此 外 ， 为 了 确保 客户 机 没有 
过 载 ， 且 服务 器 上 有 足够 的 负载 ， 应 当 监 视 客户 机 CPU 的 使 用 情况 。 

2) 服务 需 

网 络 的 Web 应 用 程序 和 数据 库 服 务 器 应 当 使 用 某 个 工具 来 监视 ， 如 Windows Server 2003 
Monitor〈 性 能 监视 器 ) 。 有 一 些 负载 测试 工具 为 了 完成 这 项 任务 还 内 置 了 监视 程序 。 对 全 部 服 
务 器 平台 进行 性 能 测试 的 重点 在 于 以 下 几 个 方面 : CPU， 占 全 部 处 理 器 时 间 的 百分比 ;内存 ， 
用 字 节 数 〈 王 字 节 ) 和 每 秒 出现 的 页 面 错误 率 表 示 ; 人 硬盘， 占 便 盘 时 间 的 百分比 ;网络 ， 每 秘 
的 总 字 节 数 。 

3) Web 服务 器 

除了 “服务 器 ”中 介绍 的 几 项 之 外 ， 所 有 Web 服务 器 还 应 包含 “文件 字 节 / 秒 ”“ 最 大 的 
同时 连接 数 ”“ 误 差 测 试 ” 等 性 能 测试 项 目 。 

4) 数据 库 服务 器 

所 有 数据 库 服务 器 都 应 当 包 含 “ 访 问 记 录 / 秒 ”和 “缓存 命中 率 ” 这 两 种 性 能 测试 项 目 。 

$) 网 络 

为 了 确保 网 络 没有 成 为 网 络 的 瓶 宽 ， 监 视 网 络 以 及 任何 子 网 的 带宽 是 非常 重要 的 。 可 以 使 
用 各 种 软件 或 者 便 件 设备 〈 如 LAN 分 析 器 ) 来 监视 网 络 。 在 交换 式 以 太 网 中 ， 因 为 每 两 个 连 
接 彼 此 之 间 相 对 独立 。 所 以 ， 必 须 监 视 每 个 单独 服务 器 连接 的 带宽 。 
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本 章 介 绍 了 网 络 服务 器 、 网 络 存 储 系统 、 云 计算 机 和 虚拟 化 、 备 份 系统 、 网 络 视频 会 议 系 
统 及 其 他 网 络 资源 设备 等 。 


4.1 网 络 服务 器 


4.1.1 网 络 服务 雳 分 类 


按 服务 器 的 处 理 器 架构 〈 即 服务 器 CPU 所 采用 的 指令 系统 ) 可 以 把 服务 器 划分 为 RISC 以 
构 服务 器 和 IA 架构 服务 器 。 


1. RISC 架构 服务 器 


该 类 服务 器 采用 RISC 专用 处 理 器 ， 主 要 文 持 UNIX 操作 系统 ， 是 封闭 、 专 用 的 计算 机 系 
统 , 一 般 称 为 RISC 服务 器 或 UNIX 服务 器 , 国内 习惯 称 之 为 “小 型 机 ”RISC(CReduced Instruction 
Set Computing， 精 人 简 指 令 集 计 算 ) 的 指令 系统 相对 简单 ， 它 只 要 求 便 件 执行 很 有 限 且 最 各 用 的 
那 部 分 指令 ， 大 部 分 复杂 的 操作 则 使 用 成 熟 的 编译 技术 ， 由 简单 指令 合成 。RISC 架构 服务 器 
采用 的 主要 是 封闭 的 发 展 策略 ， 即 由 单个 广 商 提供 垂直 的 解决 方案 ， 从 服务 器 的 系统 硬件 到 
操作 系统 通常 由 一 家 制造 商 开 发 和 提供 ， 由 此 可 以 提供 最 可 靠 的 硬件 以 及 稳定 的 操作 系统 ， 
具有 很 高 的 RAS (Reliability 可 靠 性 、Availability 可 用 性 、Serviceability 可 服务 性 ) 特性 。 主 
要 的 RISC 处 理 器 芯片 及 生产 商 有 : Oracle 公司 〈2010 年 收购 Sun) 、Fujitsu 公司 的 SPARC 
系列 处 理 器 、IBM 公司 的 Power 系列 处 理 器 、HP 公司 的 PA-RISC、Alpha 处 理 器 、MIPS 公 
司 的 MIPS 等 。 

RISC 架构 的 服务 器 除 处 理 器 各 不 相同 外 ，LO 总 线 也 不 相同 ， 例 如 Fujitsu 是 PCI，Sun 是 
SBUS 等 ， 不 同 厂商 的 RISC 服务 器 上 的 插 卡 〈 如 网 卡 、 显 示 卡 、SCSI 卡 等 ) 也 是 专用 的 。 操 
作 系 统一 般 是 基于 UNIX 的 ， 例 如 Sun、Fujitsu 是 用 Sun Solaris，HP 是 用 HP-UNIX，IBM 是 
用 AI 等 ， 所 以 RISC 架构 的 服务 器 是 相对 封闭 、 专 用 的 计算 机 系统 ， 使 用 该 避 构 的 用 户 一 般 
是 看 中 UNIX 操作 系统 的 安全 性 、 可 靠 性 和 专用 服务 器 的 高 速 运 算 能 力 。 

随 着 x86、ARM (Advanced RISC Machine) 架构 的 快速 发 展 ， 其 目前 已 经 占据 大 部 分 处 理 
器 市 场 ，RISC 架构 服务 器 的 市 场 在 逐渐 萎缩 ， 广 商 的 研发 投入 也 逐步 减少 ，2005 年 HP 发 布 
PA-8900 处 理 器 后 ， 宣 称 放弃 PA-RISC 系列 处 理 器 的 开发 ， 转 同安 腾 系 列 。2017 年 Oracle 宣 
称 将 放弃 SPARC M9 的 研发 计划 ，Fujitsu 也 转向 ARM 架构 ，SPARC 系列 处 理 器 重 蹈 Alpha 顽 
攻 ， 逐 渐 退 出 市 场 ，2019 年 华为 发 布 基于 ARM 架构 的 鲁 鹏 920 (Kunpeng920) 处 理 器 ， 采 用 
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7nm 工艺 ， 具 有 芯片 面积 小 、 功 耗 低 、 集 成 度 更 高 等 优点 。 截 至 2018 年 年 克 ， 各 三 家 公布 的 
最 新 的 RISC 服务 器 有 : Oracle SPARC M8、Fujitsu SPARC64 XII、IBM Power9 等 。2018 年 ， 
IBM 与 浪潮 电子 信息 产业 股份 有 限 公 司 合资 共 建 当 潮 商用 机 堪 有 限 公 司 ， 在 中 国 国 内 研发 、 生 
产 、 销 售 基于 Power 技术 的 服务 器 ， 同 年 推出 基于 Power9 处 理 句 的 全 线 新 产品 及 解决 方案 。 


2.IA 架构 服务 器 


通常 将 采用 Intel (英特尔 ) 处 理 器 的 服务 器 称 为 IJA (Itel Architecture) 架构 的 服务 右 ， 
也 习惯 称 为 PC Server 服务 器 。IA 架构 的 服务 器 采用 了 开放 体系 结构 ， 性 能 可 靠 ， 价 格 低廉 ， 
并 且 实 现 了 工业 化 标准 技术 ， 在 国内 外 有 大 量 的 硬件 和 软件 厂商 支持 。 在 这 个 阵营 中 主要 的 技 
术 领 头 者 是 最 大 的 CPU 制造 商 Intel， 国 外 其 他 著名 的 IA 服务 器 制造 商 有 IJBM 〈2014 年 联想 
收购 IBM X86 服务 器 业务 ) 、HPE 〈2015 年 HP 拆 分 为 惠普 企业 HPE 和 惠普 公司 ) 、Dell 等 ， 
国内 主要 的 IA 架构 服务 器 的 制造 商 有 华为 、 银 淹 、 上 曙光 、H3C、 联 想 等 。 

(1) CISC 架构 

CISC (Complex Instruction Set Computing) 指 复杂 指令 集 计 算 。 早 期 的 条 面 软件 是 按 CISC 
设计 的 ， 并 一 直 延 续 到 现在 ， 所 以 ， 微 处 理 器 (CPU) 厂商 一 直 在 走 CISC 的 发 展 道路 ， 包 括 
Intel、AMD， 还 有 其 他 一 些 现 在 已 经 更 名 的 广 商 ， 如 TI (德州 仪器 ) 、Cyrix 以 及 VIA“〈 威 盛 ) 
等 。 在 CISC 微 处 理 器 中 ， 程 序 的 各 条 指令 是 按 顺 序 串 行 执行 的 ， 每 条 指令 中 的 各 个 操作 也 是 
按 顺 序 串 行 执 行 的 。 顺 序 执行 的 优点 是 控制 简单 ,但 计算 机 各 部 分 的 利用 率 不 高 ， 执 行 速度 慢 。 

CISC 架构 的 服务 器 主要 以 IA-32 架构 为 主 ， 而 且 多 数 为 中 低档 服务 器 所 采用 。 

(2) VLIW 架构 

VLIW(Very Long Instruction Word, 超 长 指令 集 ) 架 构 采 用 了 先进 的 EPIC(CExplicitly Parallel 
Instruction Computing， 清 晰 并 行 指令 ) 设计 ， 业 界 也 把 这 种 构架 叫 作 “IA-64 架构 ”。 每 时 钟 
周期 ， 例 如 IA-64 可 运行 20 条 指令 ， 而 CISC 通常 只 能 运行 1~3 条 指令 ，RISC 能 运行 4 条 指 
令 ,， 可见 VLIW 要 比 CISC 和 RISC 强大 得 多 。VLIW 的 最 大 优点 是 简化 了 处 理 器 的 结构 ， 删 除 
了 处 理 器 内 部 许多 复杂 的 控制 电路 ， 这 些 电路 通常 是 超标 量 忆 片 〈CISC 和 RISC) 协调 并 行 工 
作 时 必须 使 用 的 ，VLIW 的 结构 简单 ， 能 够 使 其 亿 片 制造 成 本 降低 ， 价 格 低廉 ， 能 耗 少 ， 而 且 
性 能 也 要 比 超 标量 忆 片 高 得 多 。 目 前 基于 这 种 指令 架构 的 微 处 理 器 主要 有 Intel 的 IA-64 和 AMD 
的 x86-64 两 种 。 

IA-64 是 纯 64 位 架构 ， 不 兼容 32 位 架构 ， 造 成 市 场 越 来 越 狭窄 ， 而 AMD 提出 了 回 下 兼 
容 32 位 的 x86-64 更 有 利于 行业 过 渡 ， 最 终 Intel 全 面 采 纳 x86-64，2017 年 $ 月 ，Intel 发 布 的 
安 腾 9700 系列 可 能 是 IA-64 架构 处 理 器 的 最 终 型 号 , 不 会 再 有 发 展 了 , 2018 年 mntel 发 布 公告 ， 
2021 年 3 月 5 日 停止 安 腾 9500 的 供 货 。 目 前 市 场 上 的 服务 器 产品 基本 都 采用 x86-64 处 理 丹 ， 
有 Inter Xeon、AMD EPYCTM 等 ， 如 HPE 服务 器 ， 仅 有 少 部 分 关键 业务 服务 器 采用 安 腾 9500 
和 SPARC 处 理 器 ， 其 他 服务 器 基本 采用 Inter Xeon E7、E5 处 理 器 ， 国 内 服务 器 厂商 浪潮 ， 除 
K1 Power 系列 采用 Power 9 处 理 器 , 部 分 开 1 采用 安 腾 9500 处 理 器 外 , 其 他 服务 器 基本 采用 Inter 
Xeon E7、E5 处 理 器 和 新 志 强 Purley Skylake 系统 处 理 峰 。 
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4.1.2 ”性 能 要 求 及 配置 要 操 


网 络 服务 器 是 整个 文 撑 业务 应 用 的 核心 ， 如 何 选择 与 业务 规模 相 适应 的 服务 器 ， 是 有 天 决 
策 者 和 技术 人 员 都 要 考虑 的 问题 。 下 面 是 选择 网 络 服务 器 应 当 注 意 的 事项 

(1) 性 能 要 稳定 。 为 了 保证 业务 能 正常 运转 ， 服 务 器 一 般 要 求 7X24 小 时 工作 ， 选 择 的 服 
务 器 首先 要 确保 稳定 ， 因 为 一 个 性 能 不 稳定 的 服务 器 ， 即 使 配置 再 高 、 技 术 再 先进 ， 也 不 能 
证 正常 运转 ， 严 重 的 话 可 能 给 使 用 者 造成 难以 估计 的 损失 。 

(2) 以 够 用 为 准则 。 由 于 本 身 的 信息 资源 以 及 资金 实力 有 限 ， 不 可 能 一 次 性 投资 太 多 经 
费 去 采购 档次 很 高 、 技 术 很 先进 的 服务 器 。 对 于 建设 单位 而 言 ， 最 重要 的 是 根据 实际 情况 ， 
并 参考 以 后 的 发 展 规 划 ， 有 针对 性 地 选择 满足 目前 信息 化 建设 的 需要 又 不 投入 太 多 资源 的 解 
决 方法 。 

(3) 应 考虑 扩展 性 。 由 于 计算 机 技术 处 于 不 断 发 展 之 中 ， 快 速 增长 的 应 用 不 断 对 服务 响 的 
性 能 提出 新 的 要 求 ， 为 了 减少 更 新 服务 器 带 来 的 额外 开销 和 对 工作 的 影响 ， 服 务 器 应 当 具 有 较 
高 的 可 扩展 性 ， 可 以 及 时 调整 配置 来 适应 发 展 。 

(4) 要 便于 操作 管理 。 如 果 服 务 器 产品 具有 恨 好 的 易 操 作 性 和 可 管理 性 ， 当 出 现 故 障 时 无 
需 厂 商 支 持 也 能 将 故障 排除 。 所 谓 便于 操作 和 管理 主要 是 指 用 相应 的 技术 来 提高 系统 的 可 靠 性 
能 ， 简 化 管理 因素 ， 降 低 维护 费用 成 本 。 

〈$) 满足 特殊 要 求 。 不 同业 务 应 用 侧重 点 不 同 , 对 服务 器 性 能 的 要 求 也 不 一 样 。 比 如 VOD 
服务 器 要 求 具有 较 高 的 存储 容量 和 数据 吞吐 率 ， 而 Web 服务 器 和 E-mail 服务 器 则 要 求 24 小 
时 不 间断 运行 。 如 果 网 络 服务 器 中 存放 的 信息 有 敏感 资料 ， 这 就 要 求 选 择 的 服务 器 有 较 高 的 
安全 性 。 

(6) 配件 搭配 合理 。 为 了 能 使 服务 器 更 高 效 地 运转 ， 要 确保 购买 的 服务 器 的 内 部 配件 的 性 
能 必须 合理 搭配 。 例 如 ， 购 买 了 高 性 能 的 服务 器 ， 但 是 服务 器 内 部 的 茶 些 配件 使 用 了 低 价 的 碌 
容 组 件 ， 就 会 出 现 有 的 配件 处 于 瓶颈 状态 ， 有 的 配件 处 于 闲置 状态 的 情况 ， 最 后 的 结果 是 整个 
服务 器 系统 的 性 能 下 降 。 一 台 高 性 能 的 服务 器 不 是 一 件 或 几 件 设备 的 性 能 优异 ， 而 是 所 有 部 件 
的 合理 搭配 。 要 尽量 避免 小 马 拉 大 车 ， 或 者 是 大 马 拉 小 车 的 情况 。 低 速 、 小 容量 的 人 硬盘、 小 容 
量 的 内 存 ， 任 何 一 个 产生 系统 瓶颈 的 配件 都 有 可 能 制约 系统 的 整体 性 。 

《7) 理性 看 竺 价格。 无论 购 买 什么 产品 ， 用 户 都 会 很 看 重 产品 的 价格 。 当 然 一 分 价钱 一 分 
货 ， 高 档 服务 器 的 价格 比 低档 服务 器 的 价格 高 是 无 可 非议 的 事情 。 但 对 于 一 些 应 用 来 说 ， 不 一 
定 非 得 购买 那些 价格 昂贵 的 服务 器 ， 尽 管 高 端 服务 器 功能 很 多 ， 但 是 这 些 功能 对 普通 应 用 来 说 
使 用 率 不 高 。 性 能 稳定 、 价 格 适 中 的 服务 器 应 该 是 建设 单位 建设 网 络 的 理性 选择 。 

《8) 售后 服务 要 好 。 由 于 服务 器 的 使 用 和 维护 包含 一 定 的 技术 含量 ， 这 了 吏 要 求 操 作 和 管理 
服务 器 的 人 员 必 须 掌 握 一 定 的 使 用 知识 。 因 此 选择 售后 服务 好 的 IT 产品 , 对 建设 单位 来 说 是 明 
智 的 决定 。 


NG 
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2. 配置 要 点 


目前 最 基本 的 服务 器 应 用 有 数据 库 服务 器 、 文 件 服务 器 、Web 服务 器 、 邮 件 服 务 器 、 虚 拟 
化 服务 器 等 。 这 些 应 用 对 于 服务 器 配置 要 求 的 侧重 点 不 同 ， 根 据 不 同 应 用 采购 不 同 配置 的 服务 
器 可 以 使 服务 器 资源 得 到 充分 利用 ， 避 免 资 金 和 服务 器 资源 的 浪费 。 在 下 文中 将 逐一 对 这 几 种 
服务 器 的 配置 需求 侧重 点 进行 分 析 ， 为 企业 提供 参考 。 

1) 数据 库 服 务 需 

在 企业 的 信息 化 建设 中 ， 数 据 库 是 最 为 广泛 的 一 种 应 用 。 构 建 数 据 库 服务 器 可 以 将 企业 内 
部 数据 合理 进行 存储 和 组 织 ， 使 企业 信息 的 检索 和 碍 询 执行 更 为 高 效 。 目 前 主流 应 用 的 数据 库 
产品 有 Oracle、 微 软 SQL Server、MySQL、PolarDB、TDSQL、GBase 南大 通用 、 达 焚 、 人 大 
金 仓 等 ， 随 着 国产 数据 库 产品 的 不 断 发 展 ，Oracle 等 国外 数据 库 产 品 的 市 场 占 比 不 断 下 降 。 

数据 库 服务 器 对 系统 各 个 方面 要 求 都 很 高 ， 要 处 理 大 量 的 随机 IO 请 求 和 数据 传送 ， 对 内 
存 、 磁 盘 以 及 CPU 的 运算 能 力 均 有 一 定 的 要 求 。 

内 存 方 面 ， 数 据 库 服务 器 需要 高 速 高 容 的 内 存 来 节省 处 理 器 访问 硬盘 的 时 间 ， 提 高 服务 器 
的 响应 速度 。 同 时 ， 一 些 数据 库 产品 ， 例 如 Oracle， 对 于 硬件 的 要 求 比较 高 ，Oracle 的 体系 结 
构 决 定 了 其 大 量 使 用 内 存 ， 所 以 内 存 的 大 小 将 直接 影响 Oracle 数据 库 的 性 能 。 

在 磁盘 方面 ， 高 速 的 磁盘 子 系统 也 可 以 提高 数据 库 服务 器 查询 应 答 的 速度 ， 这 就 要 求 磁盘 
具有 高 速 的 接口 和 转速 ， 目 前 常用 的 存储 介质 有 10k 转 〈 即 10 000 转 / 分 ) 、1Sk 转 《 即 15 000 
转 /分 ) 的 SAS 硬盘 或 者 固态 便 盘 。 

数据 库 服务 器 对 于 处 理 器 性 能 要 求 也 很 高 。 数 据 库 服 务 器 需要 根据 需求 进行 租 询 ， 然 后 将 
结果 反馈 给 用 户 。 如 果 查 询 请 求 非 常 多 ， 比 如 大 量 用 户 同 时 碍 询 的 时 候 ， 如 果 服 务 器 的 处 理 能 
力 不 够 强 ， 无 法 处 理 大 量 的 查询 请 求 并 做 出 应 答 ， 那 么 服务 器 可 能 会 出 现 应 答 绥 慢 甚 至 死机 的 
情况 。 

综 上 ， 数 据 库 服务 器 对 于 硬件 需求 的 优先 级 为 内 存 、 磁 盘 、 处 理 器 《三 者 可 合理 搭配 ) 。 

2) 文件 服务 器 

文件 服务 器 是 用 来 提供 网 络 用 户 访问 文件 、 目 录 的 并 发 控制 和 安全 保密 措施 的 局 域 网 服 
务 器 。 

首先 ， 文 件 服务 器 要 承载 大 容量 数据 在 服务 器 和 用 户 磁盘 之 间 的 传输 ， 所 以 ， 对 于 网 速 具 
有 较 高 要 求 。 

其 次 是 对 磁盘 的 要 求 比较 高 ， 文 件 服务 器 要 进行 大 量 数据 的 存储 和 传输 ， 所 以 对 磁盘 子 系 
统 的 容量 和 速度 都 有 一 定 的 要 求 。 选 择 高 转速 、 高 接口 速度 、 大 容量 缓存 的 磁盘 ， 并 且 组 建 矿 
盘 阵列 ， 可 以 有 效 提 升 磁 盘 系 统 传输 文件 的 速度 。 

除 此 之 外 ， 大 容量 的 内 存 可 以 减少 读 写 硬 盘 的 次 数 ， 为 文件 传输 提供 缓冲 ， 提 升 数据 传输 
速度 。 文 件 服务 器 对 于 CPU 等 其 他 部 件 的 要 求 不 是 很 高 。 

综 上 ， 文 件 服 务 器 对 于 硬件 需求 的 优先 级 为 网 络 系统 、 磁 盘 系 统 和 内 存 。 
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3) Web 服务 器 

不 同 的 网 站 内 容 对 于 Web 服务 器 硬件 需求 也 是 不 同 的 。 如 果 Web 站 点 是 静态 的 ， 对 Web 
服务 器 硬件 要 求 从 高 到 低 依次 是 : 网 络 系统 、 内 存 、 磁 盘 系 统 、CPU。 如 果 Web 服务 器 主要 进 
行 密集 计算 〈 例 如 动态 产生 Web 页 ) ， 则 对 服务 堪 便 件 需求 从 高 到 低 依次 为 : 内 存 、CPU、 夏 
盘子 系统 和 网 络 系统 。 

4) 邮件 服务 需 

邮件 服务 器 是 对 实时 性 要 求 不 高 的 一 个 系统 ， 对 于 处 理 器 性 能 要 求 不 是 很 高 ， 但 是 由 于 要 
文 持 一 定数 量 的 并 发 连接 ， 对 于 网 络 子 系统 和 内 存 有 一 定 的 要 求 。 邮 件 服 务 器 软件 对 于 内 存 需 
求 也 较 高 。 同 时 ， 邮 件 服 务 器 需要 较 大 的 存储 空间 用 来 存储 邮件 及 一 些 文件 ， 但 是 对 中 小 企业 
来 说 ， 企 业 邮 箱 的 数量 一 般 只 在 几 百 个 以 下 ， 所 以 对 于 服务 器 的 配置 要 求 并 不 高 ， 一 人 台 入 门 级 
的 服务 器 完全 可 以 承载 几 百 个 邮件 客户 端的 需求 。 

邮件 服务 器 对 于 硬件 的 要 求 程度 从 高 到 低 依次 为 内 存 、 磁 盘 、 网 络 系统 、 处 理 器 。 

$) 虚拟 化 服务 吉 

虚拟 化 服务 器 主要 安装 服务 器 虚拟 化 软件 或 者 昌 面 虚拟 化 管理 系统 , 将 服务 器 的 磁盘 、CPU、 
内 存 分 别 池 化 ， 形 成 存储 资源 池 、CPU 计算 资源 池 、 内 存 资源 池 等 ， 根 据 需求 ， 分 配给 不 同 的 虚 
拟 机 使 用 。 由 于 现 有 虚拟 化 软件 对 CPU 的 分 配 使 用 最 小 单位 为 一 个 物理 内 核 ， 所 以 尽量 选用 多 
核 低 频 的 CPU， 内存 配置 尽量 大 ， 可 以 创建 更 多 的 虚拟 机 。 针 对 昌 面 虚拟 化 ， 需 要 考虑 局 动 风 暴 
等 原因 ， 尽 量 配置 固态 便 盘 作为 本 次 磁盘 安装 虚拟 化 系统 。 虚 拟 机 存储 对 存储 性 能 要 求 并 不 高 ， 
在 超 融合 架构 下 ， 很 多 厂商 都 采用 7200 转 /分 的 STAT 磁盘 或 者 10k 转 /分 的 SAS 磁盘 。 

总 结 : 上 文 列 出 了 几 种 最 为 常用 的 服务 器 角色 对 于 人 硬件 需求 的 优先 级 ， 从 总 体 来 看 ， 这 几 
种 应 用 角色 对 服务 器 的 处 理 器 、 内 存 、 磁 盘 、 网 络 系统 的 需求 程度 并 不 相同 ， 所 以 在 服务 器 规 
划 选 型 的 时 候 ， 不 要 一 味 地 追求 服务 器 的 处 理 速 度 。 


4.1.3 服务 礁 相 关 技 术 


1，64 位 计算 

64 位 指 的 是 CPU GPRs〈General-Purpose Registers， 通 用 寄存 器 ) 的 数据 宽度 为 64 位 ，64 
位 指令 集 就 是 运行 64 位 数据 的 指令 ， 也 就 是 说 处 理 器 一 次 可 以 运行 64bit 数据 。 由 于 32 位 计 
算 能 力 的 限制 ， 使 得 “企业 计算 平台 统一 化 ”的 进程 在 经 历 了 前 几 年 高 速 发 展 之 后 ， 开 始 遇 到 
了 瓶 琉 。64 位 计算 与 32 位 计算 的 最 大 区 别 在 于 “ 寻 址 能 力 ” 和 “数据 处 理 能 力 ”，64 位 计算 
平台 基于 64 位 长 的 “寄存 器 ”， 提 供 比 32 位 更 大 的 数据 带宽 和 寻 址 能 力 。 基 于 x86 服务 髓 的 
Intel 至 强 处 理 器 、AMD Opteron 以 64 位 计算 ， 有 效 解决 了 32 位 计算 系统 的 瓶颈 。 


2. 双核 和 多 核 处 理 器 


多 核 技术 也 称 为 芯片 上 多 处 理 器 技术 CCMP) ， 在 一 个 处 理 器 内 有 多 个 核心 处 理 器 ， 处 理 
器 之 间 通 过 CPU 内 部 总 线 进行 通信 , 目前 已 经 成 为 当前 微 处 理 器 发 展 的 方向 。 多 内 核 的 想法 脱 
台 于 摩尔 定律 〈 芯 片上 晶体 管 的 数目 每 两 年 增加 一 倍 ) 。 过 去 ， 为 了 增加 高 速 缓存 〈 用 于 快速 
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数据 访问 的 集成 的 存储 池 ) 的 矿 寸 ,或 者 为 了 增强 其 他 提高 性 能 的 部 件 〈《 比 如 指令 水 平 并 行 度 ， 
允许 心 片 每 个 时 钟 周 期 执行 多 个 任务 ) ， 经 常 要 使 用 更 多 的 晶体 管 。 但 是 ， 现 在 芯片 广 商用 更 
多 的 晶体 管 来 制造 更 多 核心 ， 以 提高 性 能 ， 这 种 方法 不 会 显著 增加 必 片 功 耗 。 


3. PCI-E 技术 


与 传统 PCI 以 及 更 早期 的 计算 机 总 线 的 共享 并 行 架构 相 比 , PCI Express 采用 设备 间 的 点 对 
点 串 行 连接 〈Serial Interface) ， 即 允许 每 个 设备 都 有 上 自己 的 专用 连接 ， 是 独占 的 ， 并 不 需要 回 
整个 总 线 请 求 带宽 ; 同时 利用 串 行 的 连接 特点 能 将 数据 传输 速度 提高 到 2.3Gbits 的 单 癌 单线 连 
接 的 频率 ， 达 到 远 超 出 PCI 总 线 的 传输 速率 。 针 对 不 同 的 设备 可 以 实现 xX1、x2、x4、x8、x12、 
x16 或 x32 灵活 的 配置 ， 满 足 市 宽 的 不 同 要 求 。 串 行 连接 还 可 以 大 大 减少 电缆 间 的 信号 和 电厂 
于 扰 ， 由 于 传输 线条 数 有 所 减少 ， 更 能 节省 空间 和 连接 更 远 的 距离 ， 简 化 了 PCI 的 设计 ， 降 低 
了 系统 成 本 。 


4.ECC 内 存 技术 


ECC (Error Checking and Correcting， 错 误 检 查 和 纠正 ) 不 是 一 种 内 存 类 型 ， 只 是 一 种 内 
存 技术 。ECC 纠 错 技术 也 需要 额外 的 空间 来 储存 校正 码 ， 但 其 占用 的 位 数 跟 数据 的 长 度 并 非 呈 

通俗 地 讲 ， 一 个 8 位 的 数据 产生 的 ECC 码 要 占用 5 位 的 空间 ， 而 一 个 16 位 数据 ECC 码 
只 需 在 原来 基础 上 再 增加 一 位 ， 也 就 是 6 位 ; 而 32 位 的 数据 则 只 需 再 在 原来 基础 上 增加 一 位 ， 
即 7 位 的 ECC 码 即 可 ， 如 此 类 推 。ECC 码 将 信息 进行 8 比特 位 的 编码 ， 采 用 这 种 方式 可 以 恢 
复 1 比特 的 错误 。 每 一 次 数据 写 入 内 存 的 时 候 ，ECC 码 使 用 一 种 特殊 的 算法 对 数据 进行 计算 ， 
其 结 末 称 为 校 验 位 〈Check Bits) 。 将 所 有 校 验 位 加 在 一 起 的 和 是 “ 校 验 和 ” 〈Checksum) ， 
校 验 和 与 数据 一 起 存放 。 当 这 些 数据 从 内 存 中 读 出 时 ， 采 用 同一 算法 再 次 计算 校 验 和 ， 并 和 前 
面 的 计算 结果 相 比较 ， 如 果 结 果 相 同 ， 说 明 数 据 是 正确 的 ， 反 之 说 明 有 错误 ，ECC 可 以 从 逻 辑 
上 分 离 错误 并 通知 系统 。 当 只 出 现 单 比特 错误 的 时 候 ，ECC 可 以 把 错误 改正 过 来 ， 不 影响 系统 
运行 。 

除了 能 够 检查 到 并 改正 单 比特 错误 之 外 ，ECC 码 还 能 检查 到 〈 但 不 改正 ) 单 DRAM 芯片 
上 发 生 的 任意 两 个 随机 错误 ， 并 最 多 可 以 检查 到 4 比特 的 错误 。 当 有 多 比特 销 误 发 生 的 时 候 ， 
ECC 内 存 会 生成 一 个 不 可 隐藏 (Non-Maskable Interrupt) 的 中 断 ， 会 中 止 系统 运行 ， 以 避免 出 
现 数据 恶化 。ECC 内 存 技术 虽然 可 以 同时 检测 和 纠正 单一 比特 错误 ， 但 如 果 同 时 检测 出 两 个 以 
上 比特 的 数据 有 铬 误 ， 则 无 能 为 力 。 


S. 刀片 服务 器 


刀片 服务 器 (Blade Server) 是 一 种 HAHD (High Availability High Density， 高 可 用 高 密度 ) 
的 低 成 本 服务 器 平台 ,是 专门 为 特殊 应 用 行业 和 高 密度 计算 机 环境 设计 的 。 其 中 每 一 块 “ 刀 片 ” 
实际 上 就 是 一 块 系统 主板 ， 它 可 以 通过 本 地 硬盘 启动 自己 的 操作 系统 ， 如 Windows、Linux 等 
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等 ， 类 似 于 一 个 独立 的 服务 器 。 在 这 种 模式 下 ， 每 一 个 主板 运行 自己 的 系统 ， 服 务 于 指定 的 不 
同 用 户 群 ， 相 互 之 间 没 有 关联 。 不 过 可 以 用 系统 软件 将 这 些 主板 集合 成 一 个 服务 器 集群 。 在 集 
群 模 式 下 ， 所 有 的 主板 可 以 连接 起 来 提供 高 速 的 网 络 环境 ， 可 以 共享 资源 ， 为 相同 的 用 户 群 服 
务 。 在 集群 中 插入 新 的 “刀片 ”， 就 可 以 提高 整体 性 能 。 而 由 于 每 块 “ 刀 上 请” 都 是 热 插 拔 的 ， 
所 以 ， 系 统 可 以 轻松 地 进行 奉 换 ， 从 而 便于 进行 升级 、 维 护 。 

服务 器 集群 作为 一 种 实现 负载 均衡 的 技术 , 可 以 有 效 地 提高 服务 的 稳定 性 和 核心 网 络 服务 
的 性 能 ， 还 可 以 提供 元 余 和 容错 功能 。 理 论 上 ， 服 务 器 集群 可 以 扩展 到 无 限 数量 的 服务 器 。 显 
然 ， 服 务 器 集群 和 RAID 镜像 技术 的 诞生 为 计算 机 和 数据 池 的 Pnternet 应 用 提供 了 一 个 新 的 解 
决 方案 ， 其 成 本 远 远 低 于 传统 的 高 端 专用 服务 器 。 但 是 ， 服 务 器 集群 的 集成 能 力 低 ， 管 理 这 样 
的 集群 使 很 多 IDC 都 非常 头疼 。 尤 其 是 集群 扩展 的 需求 越 来 越 大 ， 维 护 这 些 服务 堪 的 工作 量 很 
大 ， 包 括 服 务 器 之 间 的 内 部 连接 和 摆 放 空间 的 要 求 。 这 些 物理 因素 都 限制 了 集群 的 扩展 。 刀 片 
服务 器 的 出 现 适 时 地 解决 了 这 样 的 问题 。 高 密度 服务 器 内 置 了 监视 器 和 管理 工具 软件 ， 可 以 几 
十 个 甚 全 上 下 个 地 堆放 在 一 起 。 配 置 一 全 高 密度 服务 器 就 可 以 解决 一 台 到 一 百 台 服务 器 的 管理 
问题 。 如 果 需 要 增加 或 者 删除 集群 中 的 服务 器 ， 只 要 插入 或 拔 出 一 个 CPU 板 即 可 。 就 这 个 意义 
上 来 说 ，Blade Server 殉 服 了 服务 器 集群 的 缺点 。 


6. SMP 技术 


SMP 〈Symmetrical Multi-Processing， 对 称 多 处 理 ) 技术 是 相对 非 对 称 多 处 理 技术 而 言 的 、 
应 用 十 分 广泛 的 并 行 技术 。 在 这 种 架构 中 ， 多 个 处 理 器 运行 操作 系统 的 单一 复 本 ， 并 共享 内 存 
和 一 台 计 算 机 的 其 他 资源 。 所 有 的 处 理 峰 都 可 以 平等 地 访问 内 存 、LILO 和 外 部 中 断 。 

在 非 对 称 多 处 理 系 统 中 ， 任 务 和 资源 由 不 同 处 理 器 进行 管理 ， 有 的 CPU 只 处 理 TO， 有 的 
CPU 只 处 理 操作 系统 的 提交 任务 ， 显 然 非 对 称 多 处 理 系 统 是 不 能 实现 负载 均衡 的 。 在 对 称 多 处 
理 系 统 中 , 系统 资源 被 系统 中 所 有 CPU 共享 ,工作 负载 能 够 均匀 地 分 配 到 所 有 可 用 处 理 器 之 上 。 

目前 ， 大 多 数 SMP 系统 的 CPU 是 通过 共享 系统 总 线 来 存 取 数据 ， 实 现 对 称 多 处 理 的 。 如 
某 些 RISC 服 务 器 厂商 使 用 Crossbar 或 Switch 方式 连接 多 个 CPU, 虽然 性 能 和 可 扩展 性 优 于 Intel 
架构 ， 但 SMP 的 扩展 性 仍 有 限 。 

在 SMP 系统 中 增加 更 多 处 理 器 的 难点 是 系统 不 得 不 消耗 资源 来 文 持 处 理 器 抢占 内 存 ， 以 
及 内 存 同 步 这 两 个 主要 问题 。 抢 占 内 存 是 指 当 多 个 处 理 器 共同 访问 内 存 中 的 数据 时 ， 它 们 并 不 
能 同时 去 读 写 数据 , 虽然 一 个 CPU 正 读 一 段 数 据 时 , 其 他 CPU 可 以 读 这 段 数据 , 但 当 一 个 CPU 
正在 修改 某 段 数据 时 ， 该 CPU 将 会 锁定 这 段 数 据 ， 其 他 CPU 要 操作 这 段 数据 束 必 须 等 符 。 

显然 ，CPU 越 多 ， 这 样 的 等 待 问题 就 越 严重 ， 系 统 性 能 不 仅 无 法 提升 ， 甚 至 下 降 。 为 了 尽 
可 能 地 增加 更 多 的 CPU， 现 在 的 SMP 系统 基本 上 都 采用 增 大 服务 器 Cache 容量 的 方法 来 减少 
抢占 内 存 问 题 ， 因 为 Cache 是 CPU 的 “本 地 内 存 ”， 它 与 CPU 之 间 的 数据 交换 速度 远 远 高 于 
内 存 总 线 速度 。 又 由 于 Cache 文 持 不 共享 ,这 样 就 不 会 出 现 多 个 CPU 抢占 同一 段 内 存 资源 的 问 
题 了 ， 许 多 数据 操作 就 可 以 在 CPU 内 置 的 Cache 或 CPU 外 置 的 Cache 中 顺利 完成 。 

然而 ，Cache 的 作用 虽然 解决 了 SMP 系统 中 的 抢占 内 存 问 题 , 但 又 引起 了 另 一 个 较 难 解决 
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的 所 谓 “ 内 存 同步 ”的 问题 。 在 SMP 系统 中 ， 各 CPU 通过 Cache 访问 内 存 数据 时 ， 要 求 系统 
必须 经 常 保持 内 存 中 的 数据 与 Cache 中 的 数据 一 致 ， 铬 Cache 的 内 容 更 新 了 ， 内 存 中 的 内 容 也 
应 该 相应 更 新 ， 否 则 就 会 影响 系统 数据 的 一 致 性 。 由 于 每 次 更 新 都 需要 占用 CPU， 还 要 锁定 内 
存 中 被 更 新 的 字段 ， 而 且 更 新 频率 过 高 又 必然 影响 系统 性 能 ， 更 新 间隔 过 长 也 有 可 能 导致 因 交 
叉 读 写 而 引起 数据 错误 ， 因 此 ，SMP 的 更 新 算法 十 分 重要 。 目 前 的 SMP 系统 多 采用 侦 听 算法 
来 保证 CPU Cache 中 的 数据 与 内 存 保持 一 致 。Cache 越 大 ， 抢 占 内 存 再 现 的 概率 就 越 小 ， 同 时 
由 于 Cache 的 数据 传输 速度 高 ，Cache 的 增 大 还 提高 了 CPU 的 运算 效率 ， 但 系统 保持 内 存 同步 
的 难度 也 很 大 。 


7. 集群 技术 


集群 Cluster) 是 一 组 相互 独立 的 计算 机 ， 利 用 高 速 通信 网 络 组 成 一 个 单一 的 计算 机 系统 ， 
并 以 单一 系统 的 模式 加 以 管理 。 其 出 发 点 是 提供 高 可 徘 性 、 可 扩充 性 和 抗灾 难 性 。 一 个 集群 包 
含 多 台 拥 有 共享 数据 存储 空间 的 服务 右 ， 各 服务 器 通过 内 部 局 域 网 相互 通信 。 当 一 合 服务 器 发 
生 故 障 时 ， 它 所 运行 的 应 用 程序 将 由 其 他 服务 器 目 动 接管 。 在 大 多 数 模式 下 ， 集 群 中 所 有 的 计 
算 机 拥有 一 个 共同 的 名 称 ， 集 群 内 的 任 一 系统 上 运行 的 服务 都 可 被 所 有 的 网 络 客户 使 用 。 采 用 
集群 系统 通 第 是 为 了 提高 系统 的 稳定 性 和 网 络 中 心 的 数据 处 理 能 力 及 服务 能 

常见 集群 技术 有 如 下 几 种 。 

1) 服务 器 镜像 技术 

服务 器 镜像 技术 是 将 建立 在 同一 个 局 域 网 之 上 的 两 侣 服务 器 通过 软件 或 其 他 特殊 的 网 络 
设备 《比如 镜像 卡 ) 将 两 全 服务 器 的 便 盘 做 镜像 。 其 中 ， 一 人 台 服 务 耸 被 指定 为 主 服 务 骨 ， 邦 一 
台 为 从 服务 器 。 客 户 只 能 对 主 服务 器 上 的 镜像 的 卷 进行 谈 号 ， 即 只 有 主 服 务 器 通过 网 络 同 用 户 
提供 服务 ， 从 服务 器 上 相应 的 卷 被 锁定 以 防 对 数据 的 存 取 。 主 /从 服务 器 分 别 通 过 心跳 监测 线路 
互相 监测 对 方 的 运行 状态 ， 当 主 服务 器 因 故 障 宕 机 时 ， 从 服务 堆 将 在 很 短 的 时 间 内 接管 主 服务 
骼 的 应 用 。 

服务 器 镜像 技术 的 特点 是 成 本 较 低 ， 提 高 了 系统 的 可 用 性 ， 你 证 了 在 一 全 服务 器 宕 机 的 情 
况 下 系统 仍然 可 用 ， 但 是 这 种 技术 仪 限于 两 台 服 务 需 的 集群 ， 系 统 不 具有 可 扩展 性 。 

2) 错误 接管 集群 技术 

错误 接管 集群 技术 是 将 建立 在 同一 个 网 络 里 的 两 台 或 多 人 台 服 务 髓 通过 集群 技术 连接 起 来 ， 
集群 节点 中 的 每 台 服 务 器 各 上 自 运 行 不 同 的 应 用 ， 具 有 上 自己 的 广播 地 址 ， 对 前 问 用 户 提供 服务 ， 
同时 每 台 服 务 器 又 监测 其 他 服务 器 的 运行 状态 ， 为 指定 服务 豆 提 供 热 备 份 服务 。 

错误 接管 集群 技术 通常 需要 共享 外 部 存储 设备 ， 例 如 磁盘 阵列 柜 ， 两 全 或 多 人 台 服 务 闫 通过 
SCSI 电线 或 光纤 与 磁盘 阵列 柜 相 连 ， 数 据 都 存放 在 磁盘 阵列 柜上 。 这 种 集群 系统 中 通 种 是 两 个 
节点 互 为 备份 的 ， 而 不 是 几 台 服务 器 同时 为 一 台 服 务 器 备份 ， 集 群 系统 中 的 节点 通过 串口 、 共 
享 人 磁盘 分 区 或 内 部 网 络 来 互相 监测 对 方 的 心跳 。 

错误 接管 集群 技术 经 常用 在 数据 库 服 务 器 、MAIL 服务 器 等 的 集群 中 。 这 种 集群 技术 由 于 
采用 共享 存储 设备 ， 所 以 增加 了 外 设 费 用 。 目 前 在 提高 系统 的 可 用 性 方面 用 得 比较 广泛 的 是 应 
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用 程序 错误 接管 集群 技术 ， 如 双 机 热 备 ， 两 台 服 务 器 连接 共用 的 外 部 存储 系统 ， 一 人 台 处 于 工作 
状态 ， 另 外 一 台 处 于 备份 状态 ， 当 处 于 工作 状态 的 服务 器 故障 时 ， 目 动 切换 到 备用 服务 右 ， 由 
于 数据 在 外 部 的 共用 存储 系统 中 ， 所 有 业务 不 会 中 断 ， 此 模式 一 般 需 要 集群 软件 支持 。 

3) 容错 集群 技术 

容错 集群 技术 的 一 个 典型 应 用 是 容错 机 ， 在 容错 机 中 ， 每 一 个 部 件 都 具有 元 余 设 计 。 在 容 
错 集群 技术 中 , 集群 系统 的 每 个 节 氮 都 与 其 他 节点 紧密 地 联系 在 一 起 , 它们 经 营 需 要 共享 内 存 、 
便 盘 、CPU 和 IO 等 重要 的 子 系统 , 容错 集群 系统 中 各 个 节点 被 共同 映像 成 为 一 个 独立 的 系统 ， 
并 且 所 有 点 都 是 这 个 映像 系统 的 一 部 分 。 在 容错 集群 系统 中 ， 各 种 应 用 在 不 同 节点 之 间 的 切 
换 可 以 很 平 请 地 完成 ， 不 需 切换 时 间 。 

容错 集群 技术 的 实现 往往 需要 特殊 的 软 便 件 设计 ， 因 此 成 本 很 高 ， 但 是 容错 系统 最 大 限度 
地 提高 了 系统 的 可 用 性 ， 是 财政 、 金 融和 安全 部 门 的 最 佳 选择 。 


8. 模块 化 结构 


模块 化 服务 器 主要 包括 计算 模块 、LIO 模块 和 海量 存储 名模 块 。 这 些 模块 协同 工作 ， 构 成 
一 个 模块 化 服务 器 系统 。 在 一 个 模块 化 服务 器 系统 中 ， 可 以 分 别 对 每 一 个 模块 进行 升级 、 故 障 
查找 ， 或 用 新 模块 奉 换 旧 模 块 ， 同 类 模块 也 可 以 随时 加 入 到 模块 化 服务 器 中 ， 以 便 对 系统 进行 
扩展 。 

模块 化 服务 器 的 最 大 好 处 之 一 ， 就 是 可 以 保护 客户 的 投资 。 模 块 化 服务 器 是 一 种 可 伸缩 的 
服务 器 ， 客 户 可 以 随 痢 业务 需要 ， 通 过 加 服务 器 中 添加 各 种 模块 ， 扩 展 他 们 的 服务 器 系统 ， 瑟 
一 个 显著 优点 是 维护 管理 十 分 方便 。 模 块 化 服务 器 增强 了 系统 的 可 用 性 和 容错 性 。 从 高 性 能 
处 理 器 计算 机 体系 结构 观点 来 看 ，ccNUMA 体系 结构 把 多 个 处 理 器 通过 路 由 器 光纤 互 连 在 一 
起 ， 系 统 带宽 可 随 系统 规模 扩大 而 增加 ， 从 而 元 服 了 基于 总 线 的 SMP 体系 结构 所 造成 的 瓶颈 。 
ccNUMA 结构 采用 超 立 方 体 的 多 维 互 连 特 性 ， 加 上 模块 化 计算 所 市 来 的 灵活 性 ， 使 系统 的 可 伸 
缩 性 达到 了 前 所 未 有 的 水 平 ， 同 时 节省 了 费用 。 因 此 ， 模 块 化 的 NUMA 服务 器 在 灵活 性 和 经 
济 性 方面 达到 了 一 个 新 境界 。 


9. TISC 


ISC〈Intel Server Control，Intel 服务 器 控制 ) 是 一 种 网 络 监控 技术 ， 只 天 用 于 使 用 Intel 絮 
构 的 带 有 集成 管理 功能 主板 的 服务 器 。 采 用 这 种 技术 后 ， 用 户 在 一 台 普 通 的 客户 机 上 ， 如 可 以 
监测 网 络 上 所 有 使 用 Intel 主板 的 服务 器 , 监控 和 判断 服务 器 是 否 “ 健 康 ”。 一 旦 服务 器 中 机 箱 、 
电源 、 风 扇 、 内 存 、 处 理 器 、 系 统 信息 、 温 度 、 电 压 或 第 三 方便 件 中 的 任何 一 项 出 现 错误 ， 就 
会 报警 提示 管理 人 员 。 值 得 一 提 的 是 ， 监 测 端 和 服务 器 端 之 间 的 网 络 可 以 是 局 域 网 也 可 以 是 广 
域 网 ， 可 直接 通过 网 络 对 服务 器 进行 启动 、 关 闭 或 重新 置 位 ， 极 大 地 方便 了 管理 和 维护 工作 。 


10. 了 上 MP 


EMP (Emergency Management Port， 应 和 急 管 理 端口 ) 是 服务 喜 主 板 上 上 所 闪 的 一 个 用 于 远程 
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管理 服务 器 的 接口 。 远 程控 制 机 可 以 通过 Modem 与 服务 器 相连 ， 控 制 软 件 安装 于 控制 机 上 。 
远程 控制 机 通过 EMP Console 控制 界面 可 以 对 服务 器 进行 下 列 工 作 : 

(1) 打开 或 关闭 服务 器 的 电源 。 

(2) 重新 设置 服务 器 ， 甚 至 包括 主板 BIOS 和 CMOS 的 参数 。 

(3) 监测 服务 器 内 部 情况 ， 如 温度 、 电 压 、 风 书 情 况 等 。 


热 插 拔 〈Hot Swap) 功能 就 是 允许 用 户 在 不 关闭 系统 、 不 切断 电源 的 情况 下 取出 和 更 换 损 
坏 的 硬盘 、 电 源 或 板 卡 等 部 件 ， 从 而 提高 了 系统 对 灾难 的 及 时 恢复 能 力 、 扩 展 性 和 灵活 性 等 ， 
例如 一 些 面向 高 端 应 用 的 磁盘 镜像 系统 都 可 以 提供 磁盘 的 热 插 拔 功能 。 如 果 没 有 热 插 拔 功能 ， 
即使 磁盘 损坏 不 会 造成 数据 的 丢失 ， 用 户 仍然 需要 暂时 关闭 系统 ， 以 便 能 够 对 硬盘 进行 更 换 ， 
而 使 用 热 插 拔 技术 只 要 人 和 单 地 打开 连接 开关 或 者 转动 手柄 就 可 以 直接 取出 硬盘， 而 系统 仍然 可 
以 不 间断 地 正 背 运行 。 


4.2 网 络 存储 系统 


4.2.1 硬盘 接口 


1. 接口 分 类 


人 硬盘 接口 是 硬盘 与 主机 系统 间 的 连接 部 件 ， 作 用 是 在 硬盘 缓存 和 主机 内 存 之 间 传 输 数据 。 
每 种 接口 协议 拥有 不 同 的 技术 规范 ， 有 具备 不 同 的 传输 速度 ， 其 存 取 效 能 的 差 弄 较 大 ， 上 所 面 对 的 
实际 应 用 和 目标 市 场 也 各 不 相同 。 

目前 常见 的 硬盘 接口 主要 包括 : 

e。 ”用 于 ATA 指令 系统 的 IDE 接口 。 

e。 用 于 ATA 指令 系统 的 SATIA 接口 。 

e。 用 于 SCSI 指令 系统 的 并 行 SCSI 接口 。 

e。 用 于 SCSI 指令 系统 的 串 行 SCSI (SAS) 接口 。 

e。 ”用 于 SCSI 指令 系统 的 IJBM 专用 串 行 SCSI 接 口 (SSA) 。 

e。 用 于 SCSI 指令 系统 的 并 且 承 载 于 Fibre Channel 协议 的 串 行 FC 接口 (FCP) 。 

IDE 接口 ， 也 称 为 PATA (Parallel AIA， 并 行 传输 AIA) 接口 ， 在 20 世纪 90 年 代 开 始 应 
用 于 台式 电脑 , 该 接口 发 展 过 多 个 版 本 , 其 数据 传输 速度 最 高 文 持 到 133MB/s, 不 过 , 随 独 SAIA 
接口 硬盘 的 出 现 ， 各 人 硬盘 厂商 停止 了 对 其 的 开发 ，IDE 接口 硬盘 基本 退出 市 场 。 

SAIA (Serial AIA， 串 行 传输 AIA) 接口 是 作为 并 行 AIA (PAIA) 的 硬盘 接口 的 升级 技 
术 而 出 现 的 ，2001 年 Seagate 宣布 了 Serial ATA 1.0 标准 ， 正 式 宣 告 了 SATA 规范 的 确立 。2005 
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年 随 着 SATA2.0 产品 的 出 现 ，SATIA 接口 硬盘 已 基本 替代 了 IDE 接口 硬盘 。SAIA1.0 接口 硬盘 
数据 传输 速率 能 达到 130MB 人 4S，SAIA2.0 接口 硬盘 数据 传输 速率 能 达到 300MB/s， 相 对 于 IDE 
接口 硬盘 ，SAIA 接口 硬盘 具有 成 本 低 、 数 据 传 输 速度 高 、 可 靠 性 强 、 扩 配 实 现 简 单 、 减 少 系 
统 布线 的 复杂 度 等 优点 ， 受 到 业界 的 重视 和 欢迎 。 

SCSI 接口 的 硬盘 则 主要 应 用 于 服务 器 市 场 。SAS (Serial Attached SCSI) 即 串 行 连接 SCSL， 
是 并 行 SCSI 接口 之 后 开发 出 的 新 一 代 SCSI 技术 。 与 SAIA 硬盘 相同 ， 都 是 采用 串 行 技术 以 获 
得 更 高 的 传输 速度 ， 并 通过 缩短 连接 线 改善 内 部 空间 等 。 此 接口 的 设计 是 为 了 改善 存储 系统 的 
效能 、 可 用 性 和 扩充 性 ， 并 且 提 供与 SATA 硬盘 的 兼容 性 。 


2. SCSI 接口 


SCSI (Small Computer System Interface， 小 型 计算 机 系统 接口 ) 是 一 种 专门 为 小 型 计算 机 
系统 设计 的 存储 单元 接口 模式 ， 有 具备 与 多 种 类 型 的 外 设 进行 通信 的 能 力 。SCSI 采用 ASPI〔〈 高 
级 SCSI 编程 接口 ) 的 标准 软件 接口 使 驱动 器 和 计算 机 内 部 安装 的 SCSI 适配器 进行 通信 ， 具 有 
应 用 范围 广 、 多 任务 、 带 宽大 、CPU 占用 率 低 以 及 热 插 拔 等 优点 。 

SCSI 接口 为 存储 产品 提供 了 强大 、 有 灵活 的 连接 方式 和 很 高 的 性 能 。 不 过 其 缺点 是 价格 比 
AIA 协议 便 盘 贵 ， 一 般 需要 主机 提供 SCSI 控制 卡 ， 并 且 在 安装 、 设 置 时 没有 IDE 或 者 SAIA 
人 硬盘 方便 。 

SCSI 规范 发 展 到 今天 ， 已 经 是 第 六 代 技 术 了 ， 从 刚 创 建 时 的 SCSI-1 (8bit) 到 今天 的 Ultra 
320 SCSI， 速 度 从 SMBAs 到 现在 的 320MB/s， 有 了 质 的 飞跃 。 各 阶段 SCSI 规范 的 性 能 参数 比 
较 如 表 4-1 所 示 。 目 前 的 主流 SCSI 便 盘 都 采用 了 Ultra 320 SCSI 接口 ， 能 提供 320MB/As 的 接口 
传输 速度 。SCSI 硬盘 也 有 专门 支持 热 插 拔 技术 的 SCA2 接口 〈80-pin) ， 与 SCSI 背 板 配合 使 
用 ， 束 可 以 轻松 实现 便 盘 的 热 插 拔 。 


表 4-1 各 阶段 SCSI 规范 的 性 能 参数 比较 
ea 传输 频率 数据 频 宽 传输 率 可 连接 设备 
(MHz) 一 ee 人 
SCSIL | 


二 一 一 上 一 上 一 一 人 一 一 怀 
SCSI-2 

15 

UltraGast2) |2 |8 2 |7 
SCSI-3 

Ultra Wide 20 |16 

Ultra2Gast4) |40 |8 
Ultra2 

Ultra2 Wide 8 |16 
Ultra3 Ultral60 8 1 
Ultra4 Ultra320 8 6 
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相 比 于 AIA 硬盘 ，SCSI 体现 出 了 更 适合 中 、 高 端 存储 应 用 的 技术 优势 : 

(1) SCSI 相对 于 AIA 硬盘 的 接口 文 持 数量 更 多 。 

AIA 硬盘 采用 IDE 插 槽 与 系统 连接 ， 而 每 个 IDE 揪 槽 即 占 用 一 个 耻 Q_ 〈 中 断 号 ) ， 而 每 
两 个 IDE 设备 就 要 占用 一 个 IDE 通道 ， 虽 然 附 加 IDE 控制 卡 等 方式 可 以 增加 所 文 持 的 IDE 设 
备 数量 ， 但 总 共 可 连接 的 IDE 设备 数 最 多 不 能 超过 15 个。 而 SCSI 的 所 有 设备 只 占用 一 个 中 断 
号 〈IRQ) ， 因 此 它 文 持 的 磁盘 扩容 量 要 比 AIA 多 。 

(2) SCSI 的 带宽 更 宽 。 

Ultra 320 SCSI 能 支持 的 最 大 总 线 速 度 为 320MBMS， 虽 然 这 只 是 理论 值 ， 但 在 实际 数据 传 
输 率 方面 ， 即 使 最 快 的 ATA/SATA 硬盘 和 SCSI 硬盘 相 比 ， 无 论 在 稳定 性 还 是 传输 速率 上 ， 都 
有 一 定 的 差距 。 不 过 如 果 单 纯 从 速度 的 角度 来 看 ， 用 户 未 必需 要 选择 SCSI 硬盘 ，RAID 技术 可 
以 更 加 有 效 地 提高 磁盘 的 传输 速度 。 

(3) SCSI 人 硬盘 CPU 占用 率 低 、 并 行 处 理 能 力 强 。 

虽然 AIA/SAIA 硬盘 也 能 实现 多 用 户 同 时 存 取 ， 但 当 并 行 处 理 人 数 超过 一 定数 量 后 ， 
AIA/SATIA 硬盘 就 会 骏 露 出 很 大 的 IO 缺陷 ， 传 输 速率 大 幅 下 降 。 同 时 ， 人 硬盘 厂 头 的 来 回 摆动 
也 会 造成 硬盘 发 热 性 能 不 稳定 。 

对 于 SCSI 而 言 ， 它 有 独立 的 必 片 负责 数据 处 理 ， 当 CPU 将 指令 传输 给 SCSI 后 ， 随 即 去 
处 理 后 续 指令 ， 其 他 的 相关 工作 束 交 给 SCSI 控制 世 片 来 处 理 ; 当 SCSI “处理 器 ”处 理 完 毕 后 ， 
再 次 发 送 控制 信息 给 CPU，CPU 再 接着 进行 后 续 工 作 ， 因 此 SCSI 系统 对 CPU 的 占用 率 很 低 ， 
而 且 SCSI 便 盘 允许 一 个 用 户 对 其 进行 数据 传输 的 同时 ， 另 一 位 用 户 同时 对 其 进行 数据 查找 ， 
这 是 SCSI 硬盘 并 行 处 理 能 力 的 体现 。 

SCSI 使 盘 较 贯 ， 但 其 品质 性 能 更 高 ， 其 独特 的 技术 优势 保障 SCSI 一 直 在 中 端 存 储 市 场 上 
占据 主导 地 位 。 普 通 的 ATA 硬盘 转速 是 $400 或 者 7200 RPM; SCSI 硬盘 是 10k 或 者 13k RPM 
SCSI 硬盘 的 平均 无 故障 时 间 达 到 1 200 000 小 时 。 另 外 ， 下 一 代 SCSI 技术 SAS 的 诞生 ， 则 更 
好 地 兼容 了 性 能 和 价格 ， 有 具有 双重 优势 。 

早期 因为 SCSI 接口 卡 和 设备 昂贵， 并 且 几 乎 各 种 外 设 都 有 较 便 宜 的 接口 可 符 代 ，SCSI 并 
未 受到 青睐 ， 可 用 的 SCSI 设备 不 多 。 反 观 今天 ， 支 持 SCSI 接口 的 外 设 产 品 从 原本 仅 有 硬盘 、 
磁带 机 两 种 ， 增 加 到 扫描 仪 、 光 驱 、 刻 录 机 、MO 等 各 种 设备 。 再 加 上 制造 技术 的 进步 ，SCSI 
卡 与 外 设 的 价格 下 降幅 度 较 大 ， 表 明 SCSI 市 场 已 经 相当 成 熟 。 


3.SCSI 控制 卡 


在 系统 中 应 用 SCSI 必须 要 有 专用 的 SCSI 控制 器 ， 即 SCSI 控制 卡 ， 才 能 与 SCSI 设备 相 
连接 。 在 SCSI 控制 器 上 有 一 个 相当 于 CPU 的 忆 片 ， 它 对 SCSI 设备 进行 控制 ， 能 处 理 大 部 分 
的 工作 ， 减 少 了 CPU 的 负担 。 同 时 提供 一 个 或 以 上 《一 个 接口 通过 电缆 可 连接 15 个 SCSI 设 
备 ) 的 SCSI 接口 内 置 板 卡 ， 它 可 插 在 服务 器 〈 或 其 他 设备 ) 主板 上 的 普通 PCI (或 服务 器 上 的 
PCI-X) 插 模 上， 提供 多 个 SCSI 接口 ， 以 方便 连接 多 个 SCSI 设备 。 
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4.2.2 ”独立 磁盘 元 余 阵 列 (CRAID ) 


1.RAID 是 什么 


RAID (Redundant Array of Independent Disks， 独 立 磁 盘 宛 余 阵 列 ) 有 时 也 简称 磁盘 阵列 ， 
重 将 许多 价格 较 便 宜 的 磁盘 组 成 一 个 容量 巨大 的 磁盘 组 。 由 美国 加 利 福 尼 亚 大 学 伯克利 分 校 的 
D.A.Patterson 教授 在 1988 年 提出 ,将 多 块 独立 的 人 硬盘 (物理 硬盘 ) 按 不 同 的 方式 组 合 起 来 形成 
一 个 便 盘 组 〈 逻 辑 人 硬盘 ) ， 作 为 逻辑 上 的 一 个 磁盘 驱动 器 来 使 用 ， 从 而 提供 比 单个 硬盘 更 高 的 
存储 性 能 和 数据 见 余 的 技术 。 按 照 组 成 磁盘 阵列 的 不 同方 式 分 成 右 干 RAID 级 别 〈RAID 
Levels) 。 在 使 用 者 看 来 ， 组 成 的 磁盘 组 就 像 是 一 个 硬盘 ， 用 户 可 以 对 它 进行 分 区 、 格 式 化 等 
操作 ， 多 个 磁盘 驱动 器 可 以 同时 传输 数据 ， 可 以 增加 存储 的 IO 性 能 ， 而 磁盘 上 存储 的 数据 一 
旦 发 生 损坏 后 ， 利 用 备份 信息 可 以 使 损坏 数据 得 以 恢复 ， 从 而 保障 了 数据 的 安全 性 。 总 之 ， 对 
磁盘 阵列 的 操作 与 单个 硬盘 一 样 ， 不 同 的 是 ， 磁 盘 阵 列 的 存储 性 能 要 比 单个 硬盘 高 很 多 ， 而 且 
可 以 提供 数据 元 余 。 


2. RAID 相关 概念 


1) 条 市 化 

如 图 4-1 RAID 0 系统 示意 图 所 示 ， 条 带 化 就 是 将 一 块 数据 划分 成 一 系列 连续 编号 的 Data 
Block 存储 到 多 个 物理 磁盘 上 ， 在 多 个 进程 同时 访问 数据 的 不 同 部 分 时 不 会 造成 磁盘 冲突 ， 特 
别 是 进行 顺序 访问 的 时 候 ， 可 以 获得 最 大 程度 上 的 IO 并 行 能 力 。 


Data Block 0 Data Block 4 Data Block 8 Data Block 12 
Str 1pPe 0 | Data Block 14 Pepth 
Data Block 3 Data Block 7 Data Block 11 Data Block 15$ 
Sipe1 一 Telock 26 
相 ET 
Data Block 32 Data Block 40 
Stripe 2 DataBlock34 Data Block 38 Data Block 42 
Data Block35 | ata 了 1o Data Block 4: Data Block 
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2) 扇 区 、 块 、 段 、 条 带 、 条 带 长 度 、 条 带 深 度 

在 图 4-1 中 ， 磁 盘 组 被 划分 成 的 一 条 条 的 、 横 跨 各 磁盘 的 每 一 条 称 为 条 带 〈Stripe) ; 一 个 
条 带 在 单 块 磁盘 上 所 占 的 区 域 称 为 段 (Segment) ; 每 个 段 所 包含 的 数据 块 〈Data Block) 的 个 
数 或 者 字 节 容量 称 为 条 带 深 度 〈Stripe Depth) ; 一 个 条 带 横 跨 过 的 所 有 磁盘 的 数据 块 (Data 
Block) 的 个 数 或 者 字 节 容量 称 为 条 带 长 度 。 如 : 磁盘 0 上 的 数据 块 Data Block0、Data Block1、 
Data Block2、Data Block3 组 成 的 区 域 称 为 段 (Segment) ， 假 设 每 个 数据 块 大 小 为 4KB， 则 条 
带 深 度 为 4KBX4=16KB， 条 带 长 度 为 4KB X 16=64KB。 

3) IO 相关 的 几 个 概念 

人 厂 盘 IO 即 磁盘 的 输入 输出 ， 输 入 指 的 是 对 磁盘 写 入 数据 ， 输 出 指 的 是 从 磁盘 读 出 数据 。 
一 般 读 写 类 型 分 为 读 / 写 IJO、 大 /小 块 JJO、 连 续 / 随 机 IO、 顺 序 /并 发 TO、 持 续 / 间 断 IO 等 。 

读 / 写 IO: 读 IO 就 是 控制 器 发 出 指令 从 磁盘 读 取 某 段 序 号 连续 的 扇 区 的 内 容 ， 一 个 IO 
所 有 读 取 的 扇 区 段 一 定 是 连续 的 ， 否 则 ， 就 得 放 入 多 个 IO 分 别 执行 。 指 令 一 般 先 通知 磁盘 开 
始 扇 区 的 位 置 ， 然 后 给 出 需要 从 这 个 初始 扇 区 往 后 读 取 的 连续 扇 区 个 数 ， 同 时 给 出 动作 是 读 还 
是 写 ， 们 盘 收 到 这 条 指令 后 就 会 按照 要 求 读 或 者 写 数据 。 控 制 器 从 发 出 这 条 指令 到 获得 执行 回 
执 的 过 程 就 是 一 次 IO 读 或 者 写 。 

大 /小 块 TO: 指控 制 器 的 指令 中 连续 读 取 鹿 区 的 多 少 。 大 小 块 并 无 严格 区 分 ， 比 如 128、 
64 等 ， 可 以 算 大 块 JO， 如 1、4、8 可 以 算 小 块 LO。 

连续 /随机 IO: 连续 IO 指 的 是 本 次 IO 给 出 的 初始 扇 区 地 址 和 上 一 次 IO 的 结束 刷 区 
地 址 是 完全 连续 或 者 相隔 不 多 的 。 如 果 相 差 很 大 ， 则 算 作 一 次 随机 IO。 如 果 是 连续 IO ， 磁 
头 几 乎 不 用 换 道 ， 或 者 换 道 的 时 间 很 短 ; 而 随机 IO 会 导致 磁头 不 停 地 换 道 ， 造 成 效率 大 大 降 
低 。 因 此 ， 连 续 IO 比 随机 IO 效率 高 。 

顺序 /并 发 IO: 顺序 IO 是 指 文件 系统 下 发 的 IO 队列 只 能 按 顺 序 一 个 一 个 地 执行 ， 而 并 
发 IO 则 指 同 一 块 磁盘 发 送 IO 指令 后 不 必 等 竺 回应， 接着 回 另 外 一 块 磁 盘 发 送 IO 指令 ， 即 
可 以 同时 向 一 个 RAID 系统 中 的 多 个 磁盘 发 送 IO 指令 。 并 发 IO 在 某 些 特定 应 用 场景 下 可 以 
极 大 地 提高 效率 和 速度 。 

持续 /间断 VO: 持续 不 断 地 发 送 或 者 接收 IO 请 求 数据 量 ， 则 为 持续 IJO; LIO 数据 量 时 断 
时 续 则 为 间断 IO。 

IO 并 发 : 单 块 磁盘 时 ， 因 为 一 块 磁盘 同一 时 间 只 能 进行 一 次 IO,， 同 时 最 多 1 个 IO, 无 IO 
并 发 ; 由 2 块 磁 盘 组 成 的 RAID 0， 同 时 最 多 2 个 IO， 故 最 大 IO 并 发 为 2; 由 3 块 磁盘 组 成 的 
RAID $， 由 于 争 用 校 验 盘 的 问题 ， 同 时 最 多 1 个 IO， 无 IO 并 发 : 由 4 块 磁盘 组 成 的 RAID 5$， 
由 于 校 验 块 分 布 在 不 同 磁盘 上 ， 上 所 有 同时 最 多 2 个 IO， 故 IO 并 发 为 2。 

IOPS: 即 每 秒 磁 盘 可 以 进行 多 少 次 IO 读 写 。 较 高 的 IO 并 发 率 和 较 低 的 单 次 IO 用 时 
都 会 提升 IOPS, 我 们 知道 完成 一 次 IO 所 用 时 间 为 寻 道 时 间 + 旋 转 延 迟 时 间 + 数 据 传输 时 间 , 受 
倒 盘 转速 影响 ， 寻 道 时 间 相 对 于 数据 传输 时 间 要 大 很 多 ， 所 以 7200rmp、10 000rmp、15 000rmp 
转速 的 磁盘 对 IOPS 的 影响 明显 。 

每 秒 IO 吞吐 量 : 即 每 秒 磁盘 IO 的 流量 ， 为 磁盘 读 取 和 写 入 数据 之 和 。 每 秒 IO 吞吐 量 
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=IOPSX 平 均 IO 大 小 。 由 此 可 知 ，LO 大 小 越 大 、 寻 道 时 间 越 短 ， 吞 吐 量 越 高 。 
3.RAID 的 基本 工作 模式 


RAID 技术 经 过 不 断 的 发 展 ， 现 在 已 拥有 了 从 RAID 0 到 RAID 6 这 七 种 基本 的 RAID 级 
别 。 另 外 ， 还 有 一 些 基本 RAID 级 别 的 组 合 形式 ， 如 RAID 10 (RAID 0 与 RAID 1 的 组 合 ) 、 
RAID 50 (CRAID 0 与 RAID 5 的 组 合 ) 等 。 不 同 的 RAID 级 别 代表 着 不 同 的 存储 性 能 、 数 据 安 
全 性 和 存储 成 本 。 最 为 常用 的 是 下 面 的 几 种 RAID 形式 。 

1) RAID0 

RAID 0 又 称 为 Stripe 或 Striping (条 带 化 ) ， 把 连续 的 数据 分 散 到 多 个 磁盘 上 存储 ， 这 样 ， 
系统 有 数据 请 求 就 可 以 被 多 个 磁盘 并 行 地 执行 ， 每 个 磁盘 执行 属于 它 目 己 的 那 部 分 数据 请 求 。 
这 种 数据 上 的 并 行 操 作 可 以 充分 利用 总 线 的 带宽 ， 显 著 提 高 磁盘 整体 存 取 性 能 。 在 所 有 RAID 
级 别 中 ，RAID 0 的 存 取 性 能 最 高 。 

磁盘 0 磁盘 ] 逻辑 磁盘 
ee We 
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Data Block0 
Data Blockl Data Blockl 


Data Block3 


电 已 LO 
《 外 


Strlpe 0 


和 以 LO 日 4 人 

Data Block4 
Data Block5$ 
Data Block7 


Stripe ] 


Strlipe 2 


Da 


Stripe N 


图 4-2 RAID 0 系统 示意 图 


如 图 4-2 所 示 ， 把 连续 的 数据 分 散 到 多 个 磁盘 上 存储 ， 参 与 形成 RAID 0 的 各 个 物理 盘 会 
组 成 一 个 逻辑 上 连续 、 物 理 上 也 连续 的 虚拟 磁盘 。 通 过 建立 RAID 0， 原 本 顺序 的 数据 请 求 被 分 
散 到 所 有 的 三 块 硬 盘 中 同时 执行 。 系 统 癌 两 个 磁盘 组 成 的 逻辑 硬盘 〈(RAID 0 磁盘 组 ) 发 出 的 
IO 数据 请 求 被 转化 为 两 项 操作 ， 其 中 的 每 一 项 操作 都 对 应 于 一 块 物理 人 硬盘。 从 图 中 可 以 清楚 
地 看 到 , 通过 建立 RAID 0, 原先 顺序 的 数据 请 求 被 分 散 到 所 有 的 便 盘 中 同时 执行 。 从 理论 上 讲 ， 
两 块 硬盘 的 并 行 操作 使 同一 时 间 内 磁盘 读 写 速度 提升 了 2 倍 。 但 由 于 总 线 带宽 等 多 种 因素 的 
影响 实际 的 提升 速率 肯定 会 低 于 理论 值 ， 但 是 ， 大 量 数据 并 行 传输 与 串 行 传输 比较 ， 提 速效 
林 显 若 显然 毋庸 置 疑 。 
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RAID 0 的 缺点 是 不 提供 数据 元 余 ， 因 此 一 旦 数据 或 者 磁盘 损坏 ， 损 坏 的 数据 将 无 法 得 到 
恢复 ，RAID 0 特别 适用 于 对 性 能 要 求 较 高 ， 而 对 数据 安全 要 求 低 的 领域 。 

2) RAID 1 

RAID 1 又 称 为 Mirror 或 Mirroring《〈 镜 像 )， 它 的 宗旨 是 最 大 限度 地 保证 用 户 数据 的 可 用 性 和 
可 修复 性 。RAID ! 的 操作 方式 是 把 用 户 写 入 便 盘 的 数据 百分之百 地 自动 复制 到 另外 一 个 硬盘 上 。 

如 图 4-3 所 示 ， 当 读 取 数据 时 ， 系 统 先 从 RAID 1 的 源 盘 读 取 数据 ， 如 果 读 取 数 据 成 功 ， 
则 系统 不 去 管 备份 盘 上 的 数据 ; 如 果 读 取 源 盘 数 据 失 败 , 则 系统 自动 转 而 读 取 备 份 盘 上 的 数据 ， 
不 会 造成 用 户 工 作 任务 的 中 断 。 当 然 ， 应 当 及 时 地 更 换 损 坏 的 硬盘 并 利用 备份 数据 重新 建立 
Mirror， 避 免 备 份 盘 在 发 生 损坏 时 ， 造 成 不 可 挽回 的 数据 损失 。 
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图 4-3 RAID 1 系统 示意 图 


由 于 对 存储 的 数据 进行 完全 的 备份 ， 在 所 有 RAID 级 别 中 ，RAID 1 提供 最 高 的 数据 安全 
保障 。 同 样 ， 由 于 数据 的 完全 备份 ， 备 份 数据 占 了 总 存储 空间 的 一 半 ， 因 而 Mirror《〈 镜 像 ) 的 
磁盘 空间 利用 率 低 ， 存 储 成 本 高 。 

相 比 于 RAID 0 无 数据 见 余 ，RAID 1 通过 数据 镜像 加 强 了 数据 安全 性 ,使 其 尤其 适用 于 存 
放 重 要 数据 。 

3) RAID 3 

如 图 4-4 所 示 ，RAID 3 由 一 块 校 验 盘 和 多 块 数据 盘 组 成 ， 将 条 玮 长度 设置 为 和 文件 系统 块 
大 小 一 致 ， 对 一 个 IO 尽量 分 割 成 小 块 ， 让 每 次 IO 都 能 尽 可 能 地 使 用 更 多 的 磁盘 ， 最 好 是 所 有 砚 
盘 都 参与 ， 即 IO SIZE 不 小 于 条 带 长 度 ， 这 样 多 磁盘 同时 工作 ， 单 次 IO 的 性 能 就 高 ， 深 度 随 磁盘 
数量 而 定 ， 但 是 最 小 深度 为 1 个 忆 区 。 例 如 ， 一 般 文件 系统 各 用 的 块 大 小 为 4KB， 则 RAID 3 的 
条 市 长 度 就 设置 为 4&B， 如 果 使 用 4 块 数据 盘 ， 则 条 责 深度 为 两 个 而 区 或 者 IKB;， 如 宋 使 用 8 


国 2s 国 时 网 络 规划 设计 师 教 程 (第 2 版 ) 


块 数据 盘 ， 则 条 带 深度 为 1 个 扇 区 或 者 S12B。 总 之 ， 会 保持 条 带 长 度 为 上 层 块 的 大 小 ， 而 上 层 
的 IO 一 般 都 会 以 块 为 单位 ， 这 样 就 可 以 保证 在 连续 写 的 情况 下 ， 以 条 带 为 单位 写 入 ， 大 大 提高 
磁盘 并 行 度 。 不 过 ，RAID 3 的 并 发 是 一 次 IO 的 多 磁盘 并 发 读 写 ， 并 不 是 多 IO 并 发 ， 这 样 的 设 
置 并 不 适合 多 IO 并 发 的 业务 ， 会 造成 IO 等 待 ， 所 以 RAID 3 最 适合 连续 大 块 IO 的 业务 。 
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图 4-4 RAID 3 系统 示意 图 


RAID 3 在 数据 校 验 和 容错 方面 , 对 RAID 2 中 多 块 校 验 盘 的 问题 进行 了 优化 ， 采 用 一 块 校 
验 盘 ， 把 数据 盘 的 每 一 位 通过 XOR 运算 ， 将 结果 写 入 校 验 盘 的 对 应 位 置 。 当 一 块 磁盘 故障 后 ， 
可 以 利用 校 验 盘 和 其 他 数据 盘 ， 通 过 XOR 运算 ， 恢 复 故 障 磁盘 的 数据 。 这 样 既 提升 了 校 验 效 
率 ， 减 少 了 成 本 ， 又 实现 了 数据 元 余 ， 但 缺点 是 XOR 算法 无 法 纠 错 。 

4) RAID 4 

RAID 4 针对 RAID 3 无 法 实现 IO 并 发 的 问题 进行 了 改进 ， 设 置 条 带 长 度 和 深度 足够 大 ， 
使 得 IO SIZE 总 是 小 于 Stripe SIZE， 保 证 每 个 IO 总 是 尽 可 能 少 地 占用 磁盘 ， 甚 至 一 个 IO 只 
占用 一 个 磁盘 ， 这 样 就 可 以 实现 多 个 IO 并 发 。 这 样 的 设计 对 于 读 IO 来 说 ， 是 可 以 提升 IO 
并 发 能 力 的 。 但 是 对 于 写 IJO， 由 于 每 次 写 都 需要 对 校 验 盘 进行 IO 写 操 作 ， 就 会 出 现 多 个 IO 
争 用 校 验 盘 的 现象 ， 即 出 现 写 校 验 盘 排 队 现 象 ， 这 成 为 IO 并 发 的 新 瓶颈 。 

例如 ， 图 4-5 所 示 的 RAID 4 阵列， 有 1 块 校 验 盘 和 3 块 数据 盘 ， 某 时 刻 一 个 IO 占用 了 校 
验 盘 和 磁盘 1， 此 时 ， 虽 然 磁盘 2 和 磁盘 3 是 空闲 的 ， 可 以 同时 接受 新 的 IO 请 求 ， 但 是 新 的 写 
IO 同样 需要 使 用 校 验 盘 ， 由 于 一 块 物 理 磁 盘 同 一 时 间 只 能 处 理 一 个 IO， 所 以 新 的 写 IO 只 能 等 
待 旧 的 写 IO 完成 后 ， 才 能 写 入 校 验 ， 这 样 就 出 现 了 数据 盘 可 并 发 而 校 验 盘 不 能 并 发 的 情况 。 

RAID 4 的 IO 并 发 可 以 通过 文件 系统 层 配合 进行 优化 ,将 多 个 IO 合并 写 入 ， 数 据 块 尽量 
同时 写 到 一 个 条 带 中 ， 实 现 整 条 带 的 写 入 ， 实 现 多 IO 并 发 。 目 前 RAID 4 使 用 得 很 少 ， 面 临 
淘汰 ， 只 有 NetApp 的 WAEFL 文件 系统 还 在 用 ，WAFL 文件 系统 对 RAID 4 做 了 优化 。 


第 4 章 
磁盘 0 磁盘 1 磁盘 2 磁盘 3 
Data Block0 Data Block4 Data Block8 
。 | Parityl Data Blockfl Data Block5 Data Block9 
strlipe 0 | paritv2 DataBlock2 Data Block6 Data Blockl0 
Data Block3 Data Block7 Data Blockll 
5tripe1 [Part | DataBlockl4 Data Block18 Data 
Data Block15 Data Block19 
Data Block24 Data Block28 
Strlpe “ Data Block26 Data Block30 Data Block34 
Sa SS SS SS 
图 4-$ RAID 4 系统 示意 医 
S$) RAID 5$ 


为 了 解决 RAID 4 系统 争 用 校 验 盘 、 不 能 LO 并 发 的 问题 ， 发 展 出 了 RAID $，RAID 5 采 
用 分 布 式 校 验 盘 的 做 法 ， 将 校 验 盘 打 散 在 RAID 组 的 每 块 磁盘 上 ， 如 图 4-6 所 示 。 每 个 条 带 都 
有 一 个 校 验 Segment， 但 是 不 同 条 带 的 校 验 Segment 分 布 在 不 同 的 磁盘 上 ， 在 相 邻 条 带 之 间 循 
环 分 布 。 同 时 为 了 实现 IO 并 发 ，RAID 5 将 条 带 大 小 做 得 较 大 ， 以 保证 每 次 IO 数据 不 会 占 满 
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图 4-6 RAID 5 系统 示意 图 
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图 4-7 所 示 的 写 IO 始终 只 占用 磁盘 0 和 3， 而 磁盘 1 和 2 处 于 空闲 状态 ， 此 时 ， 如 果 刚 

好 有 个 写 IO 需要 写 数 据 到 DSS， 而 该 条 带 的 校 验 Segment 在 P2， 这 两 个 段 又 分 布 在 磁盘 1 和 ?2 
上 ， 这 样 两 个 写 IO 束 可 是 并 有 发。 所 以 ，RAID 5 磁盘 越 多 ， 并 发 概率 越 高 。 
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<_ 读 取 D3 老 数据 到 Cache 一 四 | 四 | 


< 二- 读 取 P1 老 数据 到 Cache 一 


据 ) EOR 老 校 验 数据 
删除 老 校 验 数据 新 数据 写 人 D3 一 -一 > 
图 4-7 RAID 5$ 读 写 模式 示意 图 


RAID 5 是 一 种 存储 性 能 、 数 据 安 全 和 存储 成 本 兼顾 的 存储 解决 方案 。RAID 5 不 对 存储 的 
数据 进行 备份 ， 而 是 把 数据 和 相对 应 的 奇偶 校 验 信 息 存 储 到 组 成 RAID 5 的 各 个 磁盘 上 ， 并 且 
奇偶 校 验 信息 和 相对 应 的 数据 分 别 存 储 于 不 同 的 磁盘 上 。 当 RAID 5 的 一 个 磁盘 数据 发 生 损 坏 
后 ， 利 用 剩 下 的 数据 和 相应 的 奇偶 校 验 信息 去 恢复 被 损坏 的 数据 。RAID 5 可 以 为 系统 提供 数据 
安全 保障 ， 但 保障 程度 要 比 Mirror 低 ， 而 磁盘 空间 利用 率 要 比 Mirror 高 。RAID 5 具有 和 RAID 0 
相近 似 的 数据 读 取 速度 ， 只 是 多 了 一 个 奇偶 校 验 信 息 ， 写 入 数据 的 速度 比 对 单个 磁盘 进行 写 入 操 
作 稍 慢 。 同 时 由 于 多 个 数据 对 应 一 个 奇偶 校 验 信 息 ，RAID 5 的 磁盘 空间 利用 率 要 比 RAID 1 高 ， 
存储 成 本 相对 较 低 。 从 图 4-7 可 知 ，RAID 5 因为 数据 写 入 需要 奇偶 校 验 ， 存 在 写 惩 姑 ， 同 时 磁盘 
组 中 最 多 允许 坏 一 块 磁盘 ， 和 否则 数据 无 法 恢复 。 

6) RAID 6 

RAID 5 以 及 之 前 的 RAID 级 别 ， 最 多 有 一 块 校 验 盘 ， 也 就 是 最 多 允许 坏 掉 一 块 磁 盘 ， 而 
不 影 啊 使 用 或 者 丢失 数据 ， 当 有 第 二 块 磁盘 坏 挤 时 ， 系 统 就 无 法 正 营 使 用 并 且 会 丢失 数据 。 为 
了 提高 见 余 度 ， 在 RAID 5 的 基础 上 增加 一 块 校 验 盘 ， 创 建 RAID 6。 如 图 4-8 所 示 ，RAID 6 
的 磁盘 组 中 包括 两 块 校 验 盘 和 多 块 数据 盘 ， 同 RAID 5 一 样 ，RAID 6 的 两 块 校 验 盘 也 是 打 散 分 
布 式 存储 在 每 一 块 磁盘 上 的 。RAID 6 通过 不 同 数学 算法 ， 计 算出 两 种 不 同 的 校 验 数 据 ， 分 别 存 
入 两 个 校 验 Segment， 保 证 在 同时 坏 抒 两 块 盘 的 情况 下 ， 通 过 联 立 这 两 个 数学 关系 等 式 来 求 出 
丢失 的 数据 ,进行 数据 恢复 。RAID 6 的 写 性 能 比 RAID 5 更 差 , 因为 它 需要 读 出 2 次 校 验 数据 ， 
计算 后 还 需要 再 写 入 ， 写 惩罚 更 严重 ， 不 过 数据 安全 性 提高 了 很 多 。 

7) RAID 0+L/RAID 10 

正如 其 名 字 一 样 ，RAID 0+1 是 RAID 0 和 RAID 1 的 组 合 形式 ， 也 称 为 RAID 10。 

以 四 个 磁盘 组 成 的 RAID 10 为 例 ， 其 数据 存储 方式 如 图 4-9 所 示 。 首 先 ， 磁 盘 0 和 磁盘 ] 
组 成 RAID 1， 磁 盘 2 和 磁盘 3 组 成 RAID 1， 然 后 这 两 个 RAID 1 再 组 成 RAID 0。RAID 10 是 
存储 性 能 和 数据 安全 兼顾 的 方案 ， 它 在 提供 与 RAID 1 一 样 的 数据 安全 保障 的 同时 ， 也 提供 了 
与 RAID 0 近似 的 存储 性 能 。 


新 校 验 数据 = ( 老 数 据 EOR 新 数 


Stripe 1 


Stripe 2 


Stripe N 


Stnpe 0 


Stnpe 1 


Stnpe 2 


Stripe N 
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Data Block0 Data Block4 
Data Blockl Data Block5 
| paritvO2 Data Biock | Data Block6 
Data Block3 Data Block7 
Paritv 了 | ParitvyQO5 | ata 了 Block 
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Data Block20 1 

Data Block22 
| Data Block23 Parity 


图 4-8 RAID6 系统 示意 图 


RAIDO 


RAILD 1 


天 < FS 
| | 


| ParityP5 | ParityQ5 Data Block 
sw SR Www 


图 4-9 RAID 10 系统 示意 图 


由 于 RAID 10 也 通过 数据 的 100% 备 份 功能 提供 数据 安全 保障 ， 因 此 RAID 10 的 磁盘 空间 
利用 率 与 RAID 1 相同 ， 存 储 成 本 高 。RAID 10 的 特点 使 其 特别 适用 于 既 有 大 量 数据 需要 存 取 ， 
同时 又 对 数据 安全 性 要 求 严格 的 领域 ， 如 银行 、 金 融 、 商 业 超 市 、 仓 储 库 房 、 各 种 档案 管理 等 。 
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4.RAID 级 别 的 选择 


RAID 级 别 的 选择 有 三 个 主要 因素 : 可 用 性 《数据 元 余 ) 、 性 能 和 成 本 。 如 果 不 要 求 可 用 
性 ， 选 择 RAID 0 以 获得 最 佳 性 能 。 如 有 果 可 用 性 和 性 能 是 重要 的 ， 而 成 本 不 是 一 个 主要 因素 ， 
则 根据 硬盘 数量 选择 RAID 1。 如 果 可 用 性 、 成 本 和 性 能 都 同样 重要 ， 则 根据 一 般 的 数据 传输 和 
人 硬盘 的 数量 选择 RAID $S。 各 个 RAID 级 别 的 性 能 比较 如 表 4-2 所 示 。 


表 4-2 各 个 RAID 级 别 性 能 比较 


RAID 
级 别 RAID 0 RAID 1 RAID 3 RAID 3 RAID 10 


别名 专用 奇偶 位 条 带 “| 分布 奇偶 位 条 带 | 镜像 阵列 条 带 
容错 性 有 
复 


热 备 盘 | 


读 性 能 “| 高 商 商 下 
区 
有 人 它 
怠 
需要 的 磁 人 只 需 2 个 或 更 本 只 需 示 个 
盘 数 上 或 多 11 War 厅 三 个 或 更 多 三 个 或 更 多 和 林 


Ca-lmmn 的 磁盘 容 | -lm 的 磁盘 容 


恕 弛 只 能 容 只 能 os 
可 用 容量 | 总 的 磁盘 的 能 相 针 全 | 量 ， 其 中 n 为 磁 | 量 ， 其 中 n 为 磁 ee 


盘 数 


无 故障 的 迅速 | 在 训 & 澡 号 | 连续 数据 传输 ， | 随机 数据 传输 ， 


典型 应 用 读 写 , 要 求 安全 | ,人 要 求 安 全 性 高 ， | 要 求 安全 性 高 ， 


性 不 高 , 如 图 形 | 二 呈 ， 如 视频 编辑 、 大 | 如 人 金融、 数据 库 、 
型 数据 库 等 存储 等 


4.2.3 ”磁带 库 


1. 磁带 驱动 技术 


磁 市 驱动 技术 是 指 磁带 驱动 器 遵循 的 标准 ， 它 规定 了 数据 格式 、 记 录 方 式 、 定 位 方式 、 走 
市 路 径 、 校 验方 式 、 压 缩 算 法 、 介 质 矿 寸 、 介 质 生 产 工 艺 以 及 驱动 器 的 接口 标准 等 。 在 驱动 器 
和 磁 市 的 生产 过 程 中 ， 都 必须 遵从 某 一 种 驱动 技术 的 标准 。 只 有 采用 相同 标准 生产 出 来 的 驱动 
俘 和 夏 市 才能 一 起 工作 。 
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每 个 磁 融 驱动 右 都 对 应 着 茶 个 特定 的 磁带 驱动 技术 ,例如 Sony AIT 磁带 机 采用 的 就 是 AIT 
技术 ， 而 Quantum 的 DLT 磁带 机 采用 的 是 DLT 技术 。 但 是 磁带 库 本 身 与 磁 记 录 技 术 则 没有 任 
何必 然 的 联系 ， 也 了 束 是 说 一 台 带 库 可 以 文 持 多 种 不 同 的 磁带 驱动 器 ， 甚 至 可 以 文 持 混 装 。 带 库 
能 够 文 持 多 少 种 驱动 技术 ， 反 映 了 它 的 开放 性 。 一 般 来 说 ， 企 业 信息 系统 都 非常 注重 开放 性 ， 
防止 在 系统 扩展 时 受到 某 种 技术 和 产品 的 限制 。 但 是 在 一 些 特殊 领域 ， 则 可 能 由 于 行业 特点 或 
行业 习惯 一 直 沿 用 茶 种 产品 ， 而 不 是 非常 重视 开放 性 。 

目前 主流 的 磁带 张 动 技术 包括 Quantum 公司 的 DLT 和 SuperDLT，IBM、HP 和 Seagate 共 
同 制 定 的 LIO，STK 的 9840、9940，IBM 的 3390，Exabyte 的 Mammoth-2，Sony 的 AIT-2、 
AIT-3、DTF、DTF-2 等 。 

磁带 驱动 技术 最 主要 的 指标 是 数据 传输 率 和 单 盘 容量 ， 因 为 这 直接 关系 到 做 一 次 备份 所 
需 的 时 间 和 介质 数量 。 得 看 这 2 个 指标 时 要 注意 区 分 三 家 给 出 的 数值 是 未 压缩 模式 下 的 还 是 
在 2:1 或 更 高 压缩 比 下 的 ;另外 还 要 注意 区 分 峰值 数据 传输 率 和 持续 数据 传输 率 的 不 同 ， 峰 
值 传 输 率 是 指 瞬 间 可 达 的 最 大 传输 率 ， 它 不 能 反映 带 机 的 整体 性 能 ， 用 户 真 正 应 该 关心 的 是 
持续 传输 率 。 反 映 带 机 性 能 的 另 一 个 指标 是 载 入 时 间 ， 是 指 将 一 盘 磁 带 插入 带 机 ， 至 带 机 准 
备 好 ， 再 到 可 进行 读 写 操作 所 需 的 时 间 ， 一 般 为 几 秒 到 几 十 秒 。 相 对 于 备份 任务 所 需 的 全 部 
时 间 ， 载 入 时 间 是 非常 微不足道 的 。 但 当 带 库 用 于 数据 迁移 〈Storage Migration ) 系统 时 ， 由 
于 需要 频 和 党 交换 磁带 ， 这 机 的 载 入 时 间 长 短 就 比较 重要 了 。 

除了 容量 和 性 能 外 ， 一 般 用 户 比较 关心 的 要 算 可 靠 性 了 ， 特 别 是 对 那些 需要 带 机 高 负 谷 工 
作 的 系统 ， 可 靠 性 驶 更 为 重要 。 衡 量 可 靠 性 的 一 个 最 常用 指标 是 MITBF 〈 平 均 无 故障 时 间 ) ， 
它 是 指 带 机 在 出 现 故 障 之 前 平均 的 正常 工作 时 间 。 这 一 指标 并 不 是 通过 实测 得 到 的 ， 而 是 综合 
了 影 啊 帘 机 运作 的 各 种 因素 ， 以 一 定 的 公式 计算 得 出 。 目 前 主流 的 驱动 技术 ， 其 MTBEF 都 可 达 
到 十 几 万 到 几 十 万 小 时 。 读 机 内 部 的 稳定 性 ， 与 磁头 设计 、 走 融 路 径 造 成 的 张力 和 磨损 等 因素 
有 关 。 表 4-3 简单 对 比 了 几 种 主流 的 磁带 驱动 技术 。 


表 4-3 ”主流 磁 帘 驱动 技术 指标 对 比 


磁带 驱动 单 盘 容量 持续 传输 率 .| “介质 寿命 


LTO 线性 30 
SuperDIT >30 
9940 6 0 | |AMp |1530 
3590 AMP 15-30 
AIT3 >30 
DTF-2 >30 
Mammoth2 |60 |12 | 螺旋 扫描 | AME 30 


2. 虚拟 磁带 库 
虚拟 磁带 库 〈Virtual Tape Library，VTL ) 是 使 用 磁盘 阵列 效仿 标准 的 磁带 库 的 一 种 新 概念 
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产品 。VTL 通过 光纤 连接 到 备份 服务 器 , 为 数据 存储 备份 提供 了 高 速 、 高 效 及 安全 的 解决 方案 ， 
极 大 地 缩短 了 数据 备份 所 需 时 间 。 更 重要 的 是 ，VTL 通过 元 余 和 热 插 拔 设计 保证 了 系统 的 不 停 
顿 及 备份 工作 连续 运行 。 

从 中 国 存储 市 场 的 现状 看 ， 大 多 数 用 户 仍 是 使 用 磁带 承担 备份 和 归档 的 双重 任务 ， 究 其 原 
因 ， 也 是 因为 磁带 远 比 磁盘 价 廉 。 但 在 使 用 和 常规 磁带 库 时 可 能 会 被 下 列 问 题 困 拓 : 

(1) 机械手、 驱动器 、 磁 带 ， 多 个 暴露 的 机 械 装 置 中 任 一 单 点 故障 ， 均 会 导致 备份 失败 ; 

(2) 备份 磁带 组 中 任 一 盘 磨损 、 卡 带 、 变 形 、 受 潮 等 ， 均 可 能 导致 整体 备份 无 法 恢复 ; 

(3) 耗 时 的 文件 查找 困 扰 日 常 运营， 严重 制约 IT 服务 能 

随 着 AIA、SATA 磁盘 阵列 的 出 现 ，AIA、SATA 磁盘 的 成 本 正 逐 渐 接 近 甚 至 低 于 磁带 ， 基 
于 人 厂 盘 的 备份 技术 正在 成 为 一 种 潮流 ， 磁 盘 有 取代 磁 辜 成 为 备份 主流 介质 的 趋势 。 虽 然 VTL 
问世 的 时 间 不 长 ， 在 国外 却 是 相当 热门 的 产品 ， 从 市 场 层面 来 看 ， 主 要 的 存储 设备 供 货 商都 开 
台 开 发 VTL 产品 线 。 


4.2.4 DAS 技术 


DAS (Direct Attached Storage) 即 直 连 方式 存储 。 在 这 种 方式 中 ,存储 设 备 是 通过 电 绑 〈 通 
利 是 SCSI 接口 电缆 ) 直接 连接 服务 器 。LIO “〈 输 入 /输出 ) 请 求 直 接 发 送 到 存储 设备 。DAS 也 
可 称 为 SAS 〈Server Attached Storage， 服 务 器 附加 存储 ) 。 它 依赖 于 服务 器 ， 其 本 喘 是 硬件 的 
堆 登 ， 不 带 有 任何 存储 操作 系统 。 图 4-10 为 典型 的 DAS 结构 图 。DAS 的 适用 环境 为 : 

(1) 服务 器 在 地 理 分 布 上 很 分 散 ， 通 过 SAN (存储 区 域 网 络 ) 或 NAS 网络 直接 存储 ) 
在 它们 之 间 进 行 互 连 非 彰 困难 时 ; 

(2) 存储 系统 必须 被 直接 连接 到 应 用 服务 器 〈 如 Microsoft Cluster Server 或 某 些 数据 库 使 
用 的 “ 诛 始 分 区 ”) 上 时 ; 

(3) 包括 许多 数据 库 应 用 和 应 用 服务 器 在 内 的 应 用 ， 它 们 需要 直接 连接 到 存储 左上 时 。 
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图 4-10 ”典型 DAS 结构 
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对 于 多 个 服务 器 或 多 台 PC 的 环境 ， 使 用 DAS 方式 ， 设 备 的 初始 费用 可 能 比较 低 ， 可 是 这 
种 连接 方式 下 ， 每 台 PC 或 服务 器 单独 拥有 目 己 的 存储 磁盘 ， 容 量 的 再 分 配 困难 ;对 于 整个 环 
境 下 的 存储 系统 管理 ， 工 作 烦 琐 而 重复 ， 没 有 集中 管理 解决 方案 。 所 以 整体 的 拥有 成 本 〈TCO ) 
较 高 。 目 前 DAS 基本 被 NAS 或 者 SAN 所 代替 。 


4.2.5 NAS 技术 


NAS (Network Attached Storage) 是 网 络 附加 存储 。 在 NAS 存储 结构 中 ， 存 储 系统 不 再 通 
过 IO 总 线 附属 于 某 个 特定 的 服务 器 或 客户 机 ， 而 是 直接 通过 网 络 接口 与 网 络 直接 相连 ， 用 户 
通过 网 络 来 访问 。 

NAS 第 见 的 有 两 种 : 一 种 是 NAS 软件 + 人 厂 盘 阵列 〈 或 分 布 式 存储 ) ; 一 种 是 NAS 一 体 机 ， 
人 厂 盘 阵列 机 头 包 含 NAS 功能 。 

4-11 所 示 即 为 NAS 软件 + 磁盘 阵列 方式 。NAS 软件 安装 在 服务 器 上 ， 服 务 器 连接 磁盘 
阵列 ， 直 接管 理 磁 盘 阵列 的 LUN， 根 据 业 务 需求 创建 多 个 专属 文件 系统 ， 通 过 NFS 或 者 CIFS 
协议 对 用 户 提供 共享 服务 ， 用 户 通 过 网 络 驱 动 器 映射 或 者 Mount 的 方式 ， 添 加 NAS 的 文件 系 
统 。 用 户 访问 NAS 如 同 访问 本 机 的 便 盘 资源 一 样 方便 ，NAS 创建 的 文件 为 弹性 空间 ， 可 根据 
用 户 需 求 在 线 扩容 或 者 缩减 。 

NAS 一 体 机 实际 上 是 一 个 珊 有 瘦 服 务 的 存储 设备 ， 其 作用 类 似 于 一 个 专用 的 文件 服务 器 ， 
不 过 把 显示 堪 、 键 盘 、 鼠 标 等 设备 省 去 ，NAS 用 于 存储 服务 ， 可 以 大 大 降低 存储 设备 的 成 本 。 
另外 NAS 中 的 存储 信息 都 是 采用 RAID 方式 进行 管理 的 ， 从 而 有 效 地 保护 了 数据 。 


磁盘 阵列 


Web 服 务 器 FC 交 换 机 磁盘 阵列 
图 4-11 NAS 系统 结构 图 


NAS 软件 和 NAS 一 体 机 方式 各 有 优 缺 点 。NAS 软件 由 于 与 存储 系统 相对 独立 ， 系 统 扩容 
相对 方便 ， 扩 大 存储 空间 可 以 通过 增加 磁盘 阵列 来 实现 ， 提 升 系统 性 能 可 以 通过 扩展 NAS 服 
务 器 万 点 来 实现 ， 相 互 之 间 影 响 较 小 ， 不 过 对 系统 运 维 能 力 要 求 较 高 。 代 表 性 的 NAS 软件 厂 
商 有 NetApp、Veritas、 华 为 ， 其 最 新 的 NAS 方案 都 采用 分 布 式 存储 而 非 图 4-11 所 示 的 集中 式 
存储 ， 但 对 于 NAS 服务 来 说 ， 本 质 上 并 无 区 别 。NAS 一 体 机 产品 以 国内 存储 三 商 为 主 ， 如 华 
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为 、 浪 潮 等 ， 在 存储 系统 上 增加 NAS 功能 ，NAS 软件 和 存储 系统 集成 一 体 ， 兼 容 性 好 ， 运 维 
方便 简单 ， 但 是 系统 扩容 、 性 能 升级 等 受到 原 设 备 广 家 一 定 程度 的 制约 。 
NAS 典型 应 用 如 图 4-12 所 示 ， 应 用 于 多 业务 节点 共享 处 理 非 结构 文档 的 业务 需求 。 


业务 万 点 2 
Web 业 务 处 理 


负载 分 发 (前 置 机 ) 


图 4-12 ”NAS 应 用 示意 图 


NAS 与 DAS 的 比较 情况 如 表 4-4 所 示 。 


表 4-4 NAS 与 DAS 的 比较 
比较 项 目 NAS DAS 
En 
核心 技术 基于 Web 开发 的 软 硬 件 集合 于 一 身 的 卫 技 硬件 实现 RAID 技术 


术 ， 部 分 NAS 是 软件 实现 RAID 技术 
计 放 这 让 | 吉 二 晤 二 记 we ea 不 能 提供 路 平台 文件 共 亨 功能 ， 受 限 
文 持 操 作 平 台 | 完全 路 平台 文件 共享 , 支持 所有 的 操作 系统 于 基 个 独立 的 操作 系统 


连接 方式 直接 在 网 络 上 传输 数据 ， 可 接 | 通 过 SCSI 线 接 在 服务 器 上 ， 通 过 服务 
10M/100MV1G/V10G 网 络 器 的 网 卡 向 网 络 上 传输 数据 

ee as 通过 LCD 面板 设置 RAID 较 简 单 ， 连 

安装 安装 简便 快捷 ， 即 插 即 用 上 服务 器 操作 时 较 复杂 


操作 系统 独立 的 操作 系统 ， 完 全 不 受 服务 器 干预 “| 无 独立 的 存储 澡 作 系统 ， 需 相应 服务 


器 的 操作 系统 文 持 
集中 式 数 据 存 储 模 式 , 将 不 同系 统 平 台 下 的 | 分 散 式 数据 存储 模式 ， 网 络 管理 员 需 
文件 存储 在 一 台 NAS 设备 上 上， 方便 网 络 管 


要 耗费 大 量 时 间 到 不 同 服务 器 下 分 别 
理 员 集 中 管理 大 量 的 数据 ， 降 低 维护 成 本 ”| 管理 各 目的 数据 ， 维 护 成 本 增加 


管理 简单 ,基于 Web 的 GUI 管理 界面 使 NAS | 管理 较 复 杂 ， 需 要 服务 器 附带 的 操作 


存储 数据 结构 


》 aa 本 
涩 据 绾 理 设备 的 管理 一 日 了 然 系统 支持 

自身 支持 多 种 协议 的 管理 软件 ， 功 能 多 | 机 
软件 功能 样 ， 支 持 日 志文 件 系统 ， 上 且 一 般 集成 本 地 | 没有 日 号 管理 软件 ， 需 要 针对 现 有 系 


统 情况 另行 购买 


备份 软件 
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续 表 
比较 项 目 DAS 

轻松 在 线 增加 设备 ,无 需 停顿 网 络 ， 而 且 与 
已 建立 起 的 网 络 完全 融合 , 充分 保护 用 户 原 


增加 硬盘 后 重新 作 RAID 一 般 要 停机 ， 


$ 充 性 有 投资 , 良好 的 扩充 性 完全 满足 24X7 不 则 | 会 影响 网 络 服务 

断 服务 
瘤 拥有 成 本 | 中 癌 的 和 全 全 四 关 放 作 用 记 的 二 全 下 本 ， | 价格 适中 ， 需 要 购买 服务 器 及 操作 系 
CTCO) ie | 统 ， 总 拥有 成 本 较 高 

从 而 使 总 拥有 成 本 降低 

人 对 * 王 由 4 乡 

数据 备份 与 灾 ee 可 备份 直 连 服务 器 及 工作 站 的 数据 ， 
难 恢复 有 对 多 人 台 服 务 器 和 数据 备份 较 难 

生 故 障 ， 用 户 仍 可 进行 数据 存 取 
RAID 级 别 RAID 0、1、3、5 或 JBOD 

ea ee 

硬件 架构 | 宛 余 电源 、 多 风 肩 、 热 插 氢 II 
4.2.6 _ SAN 技术 


SAN (存储 局 域 网 ) 是 通过 专用 高 速 网 将 一 个 或 多 个 网 络 存 储 设备 和 服务 器 连接 起 来 的 专 
用 存储 系统 ， 未 来 的 信息 存储 将 以 SAN 存储 方式 为 主 。SAN 主要 采取 数据 块 的 方式 进行 数据 
和 信息 的 存储 ， 目 前 主要 用 于 以 太 网 和 光纤 通道 两 类 环境 中 。 

通过 了 协议 或 以 太 网 的 数据 存储 , 卫 存储 使 得 性 价 比 较 好 的 SAN 技术 能 应 用 到 更 广阔 的 
市 场 中 。 它 利用 廉价 、 货 源 丰 富 的 以 太 网 交换 机 、 集 线 器 和 线 费 来 实现 低 成 本 、 低 风险 的 基于 
IP 的 SAN 存储 。 

光纤 通道 是 一 种 存储 区 域 网 络 技术 ， 它 实现 了 主机 互 连 ， 企 业 间 共享 存储 系统 的 需求 。 可 
以 为 存储 网 络 用 户 提供 高 速 、 高 可 靠 性 以 及 稳定 安全 性 的 传输 。 光 纤 通 道 是 一 种 高 性 能 、 高 成 
本 的 技术 。 

另外 ， 无 限 带宽 技术 〈InfiniBand) 是 一 种 高 带宽 、 低 延迟 的 下 一 代 互 连 技术 ， 构 成 新 的 
网 络 环境 ， 实 现 IB SAN 的 存储 系统 。 

NAS 与 SAN 的 比较 情况 如 表 4-3 所 示 。 


表 4-$S NAS 与 SAN 的 比较 


比较 项 目 SAN 
文件 系统 SAN 是 基于 LUN 的 
连接 方式 NAS 是 连接 在 LAN 里 面 的 存储 服务 器 | SAN 是 由 EC 交换机 组 成 的 一 个 存储 网 络 


操作 系统 NAS 是 和 Cluster 无 关 的 ，NAS 设备 有 | SAN 是 和 Cluster 密切 相关 的 ,SAN 中 的 
和 自己 的 OS 存储 设备 没有 OS 


SAN 上 的 数据 是 放 在 LUN 上 的 ， 同 一 个 
区 域 需 要 Lock Manager 来 控制 ， 不 允许 
同时 读 写 


NAS 上 的 数据 是 不 排外 的 , 同一 个 逻辑 


结 梳 
在 依 下 所 竺 爸 | 区 域 可 以 被 多 个 服务 器 读 取 和 修改 
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续 表 
比较 项 目 SAN 
订 坟 结 和 SAN 主要 作为 一 个 整体 概念 存在 于 企业 
开 的 存储 系统 中 ， 可 以 看 作 一 个 单独 的 存储 系统 
协议 集 NAS 是 廉价 的 ， 使 用 TCP/IP 协议 SAN 是 昂贵 的 ， 使 用 FC 相关 协议 集 
总 拥有 成 本 |NAS 的 性 能 /价格 比较 好 ， 适 合 中 小 企 | SAN 的 性 能 优秀 ， 但 是 价格 昂贵 ， 适 合 
TOO) 业 的 中 央 存 储 大 型 企业 和 关键 应 用 的 核心 存储 系统 


下 面 分 别 对 FC8AN、IPSAN 和 IB SAN 进行 介绍 。 


1.FC SAN 技术 


由 于 应 用 的 不 断 要 求 ， 光 纤 通 道 技 术 已 经 确立 成 为 SAN 互 连 的 精 艇 ， 可 以 为 存储 网 络 用 
户 提供 高 速 、 高 可 靠 性 以 及 稳定 安全 性 的 传输 。 光 纤 通 道 技 术 是 基于 美国 国家 标准 协会 (ANSD) 
的 X3.230-1994 标准 〈ISO 14165-1) 而 创建 的 基于 块 的 网 络 方式 。 该 技术 详细 定义 了 在 服务 堆 、 
转换 器 和 存储 子 系统 《例如 磁盘 列 阵 或 磁带 库 ) 之 间 建 立 网 络 结构 所 需 的 连接 和 信和 号。 光纤 通 
道 几 乎 可 以 传输 任何 大 小 的 流量 。 

光纤 通道 采用 光纤 以 4Gbps、8Gbps、16Gbps 的 速率 传输 SAN 数据 ， 延 迟 时 间 短 。 例 如 ， 
典型 的 光纤 通道 转换 押 产 生 的 延 时 仅 有 数 微 秒 ， 正 是 由 于 光纤 通道 结合 了 高 速度 与 延迟 性 低 的 
特点 ， 在 时 间 敏 感 或 交易 处 理 的 环境 中 ， 光 纤 通 道成 为 理想 的 选择 。 同 时 ， 这 些 特 点 还 文 持 强 
大 的 扩展 能 力 ， 允 许 更 多 的 存储 系统 和 服务 器 互 连 。 光 纤 通 道 同样 文 持 多 种 拓扑 结构 ， 既 可 以 
在 简单 的 点 对 点 模式 下 实现 两 个 设备 之 间 的 运行 ,也 可 以 在 经 济 型 的 仲裁 环 下 连接 126 人 台 议 备 ， 
或 者 《最 第 见 的 情况 ) 在 强大 的 交换 式 结构 下 为 数 千 台 设 备 提 供 同步 全 速 连接 。 


2.IPSAN 技术 


1) 什么 是 IPSAN 

IPSAN 存储 技术 , 顾名思义 是 在 传统 卫 以 太 网 上 架构 一 个 SAN 存储 网 络 把 服务 器 与 存储 
设备 连接 起 来 的 存储 技术 。 卫 SAN 其 实在 FC SAN 的 基础 上 更 进一步 ， 它 把 SCSI 协议 完全 封 
装 在 卫 协议 之 中 。 简 单 来 说 ， 了 PP SAN 就 是 把 FC SAN 中 光纤 通道 解决 的 问题 通过 更 为 成 熟 的 
以 太 网 实现 了 。 从 逻辑 上 讲 ， 它 是 彻底 的 SAN 架构 ， 即 为 服务 器 提供 块 级 服务 。 

2) IPSAN 的 特性 

IP SAN 技术 有 其 独特 的 优点 : 节约 大 量 成 本 、 加 快 实施 速度 、 优 化 可 靠 性 以 及 增强 扩展 能 
等 。 采 用 iSCSI 技术 组 成 的 卫 SAN 可 以 提供 和 传统 FC SAN 相 媲 美的 存储 解决 方案 ， 而 且 普 通 
服务 器 或 PC 机 只 需要 具备 网 卡 ， 即 可 共享 和 使 用 大 容量 的 存储 空间 。 与 传统 的 分 做 式 特 连 存 储 方 
式 不 同 ， 它 采用 集中 的 存储 方式 ， 极 大 地 提高 了 存储 空间 的 利用 率 ， 方 便 了 用 户 的 维护 管理 。 

iSCSI 是 基于 卫 协议 的 ， 它 能 容纳 所 有 卫 协议 网 络 中 的 部 件 。 通 过 iSCSI ， 用 户 可 以 罕 
越 标准 的 以 太 网 线 缆 ， 在 任何 需要 的 地 方 创建 实际 的 SAN 网 络 ， 而 不 需要 专门 的 光纤 通道 网 
络 在 服务 器 和 存储 设备 之 间 传 送 数据 。iSCSI 可 以 实现 异地 间 的 数据 交换 ， 使 远程 镜像 和 备份 


第 4 章 ”网 络 资源 设备 国 量 239 加， 


成 为 可 能 。 因 为 没有 光纤 通道 对 传输 距离 的 限制 ， 了 P SAN 使 用 标准 的 TCP/P 协议 ， 数 据 即 可 
在 以 太 网 上 进行 传输 。 

3) IPSAN 和 EFC SAN 的 比较 

FC SAN 的 网 络 介质 为 光纤 通道 (Fibre Channel) ， 而 IP SAN 使 用 标准 的 以 太 网 。 采 用 卫 
SAN 可 以 将 SAN 为 服务 器 提供 的 共享 特性 以 及 卫 网 络 的 易 用 性 很 好 地 结合 在 一 起 ， 并 且 为 用 
户 提供 了 类 似 服 务 器 本 地 存储 的 较 高 的 性 能 体验 。SAN 是 一 种 进行 块 级 服务 的 存储 架构 ， 一 直 
以 来 ， 光 纤 通 道 SAN 发 展 相 对 迅速 ， 因 此 ， 人 们 一 度 认 为 只 能 通过 光纤 通道 来 实现 SAN， 然 
而 ， 通 过 传统 的 以 太 网 仍然 可 以 构建 SAN， 那 就 是 了 SAN。 

iSCSI 是 实现 耻 SAN 最 重要 的 技术 。 在 iSCSI 出 现 之 前 ， 了 P 网 络 与 块 模式 〈 主 要 是 光纤 通 
道 ) 是 两 种 完全 不 兼容 的 技术 。 由 于 iCSI 是 运行 在 TCP/P 之 上 的 块 模式 协议 ， 它 将 卫 网 络 
与 块 模式 的 优势 很 好 地 结合 起 来 ， 且 卫 SAN 的 成 本 低 于 FC SAN。 

4) IPSAN 解决 方案 

IP SAN 存储 解决 方案 有 痢 广 泛 的 行业 适用 性 。 在 备份 和 恢复 、 高 可 用 性 、 业 务 连 续 性 、 
服务 器 和 存储 设备 整合 等 方面 ， 采 用 iCSI 技术 组 成 的 卫 SAN 存储 可 与 FC SAN 相 媲 美 。 卫 
SAN 构建 成 本 更 低 ， 而 且 可 以 连接 更 远 的 距离 ， 对 于 电信 、 企 业 、 教 育 、 政 府 、 专 业 设 计 公 
司 、 音 /视频 处 理 、 新 闻 出 版 、ISPNCP 、 科 研 院 所 、 信 息 中 心 等 行业 用 户 都 比较 适用 。 

图 4-13 为 比较 价 单 的 卫 SAN 结构 图 。 其 中 使 用 千 兆 以 太 网 交换 机 搭建 网 络 环境 ， 由 
非 编 工作 站 、 文 件 服务 器 和 磁盘 阵列 及 磁带 库 组 成 。 图 4-13 使 用 iSCSI HBA 〈Host Bus 
Adapter， 主 机 总 线 适 配 卡 ) 连接 服务 器 和 交换 机 ， 由 iSCSIHBA 卡 硬件 处 理 对 SCSI 协议 
的 封 逆 ， 不 册 占 用 服务 器 CPU， 减少 对 服务 堪 性 能 的 影响 。 如 果 不 使 用 iSCSI HBA 卡 ， 而 
使 用 以 太 网 卡 ， 也 可 以 用 软件 实现 SCSI 协议 和 TCP/P 协议 之 间 的 转换 ， 需 要 占用 服务 器 
CPU 将 SCSI 协议 封 钞 为 TCP/IP 协议 。 


Ri 四。 邮件 服务 器 文件 服务 器 DR 才 


Web 服 务 器 IP--SAN 存 储 应 用 服务 需 
图 4-13 IPSAN 系统 结构 图 
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3.IB SAN 技术 


1) 什么 是 IB SAN 

InfiniBand (IJB) 是 一 种 交换 结构 IO 技术 ， 其 设计 思路 是 通过 一 套 中 心机 构 PnfiniBand 交 
换 机 在 远程 存储 器 、 网 络 以 及 服务 器 等 设备 之 间 建 立 一 个 单一 的 连接 链 路 , 并 由 中 心 InfiniBand 
交换 机 来 指挥 流量 ， 它 的 结构 设计 得 非常 紧密 ， 大 大 提高 了 系统 的 性 能 、 可 靠 性 和 有 效 性 ， 能 
缓解 各 硬件 设备 之 间 的 数据 流量 拥塞 。 而 这 是 许多 共享 总 线 式 技术 没有 解决 好 的 问题 ， 例 如 ， 
这 是 基于 PCI 的 机 器 最 头疼 的 问题 ， 甚 至 最 新 的 PCI-X 也 存在 这 个 问题 。 因 为 在 共享 总 线 环境 
中 ， 设 备 之 间 的 连接 都 必须 通过 指定 的 端口 建立 单独 的 链 路 。 

InfiniBand 的 设计 主要 是 围绕 看 点 对 点 以 及 交换 结构 IO 技术 ,这样 ， 从 简单 廉价 的 IO 设 
备 到 复杂 的 主机 设备 都 能 被 堆 登 的 交换 设备 连接 起 来 。InfiniBand 主要 支持 两 种 环境 : 模块 对 
模块 的 计算 机 系统 〈 支 持 IO 模块 附加 插 槽 );， 在 数据 中 心 环境 中 的 机 箱 对 机 箱 的 互 连 系统 、 
外 部 存储 系统 和 外 部 LAN/WAN 访问 设备 。 

InfiniBand 支持 的 带宽 比 现在 主流 的 IO 载体 (如 SCSI、Ethernet、Fibre Channel) 还 要 高 ， 
另外 ， 由 于 使 用 IPv6 的 报头 ，InfiniBand 还 支持 与 传统 InternetIntranet 设施 的 有 效 连 接 。 用 
IfiniBand 技术 替代 总 线 结构 所 带 来 的 最 重要 的 变化 就 是 建立 了 一 个 灵活 、 高 效 的 数据 中 心 ， 
省 去 了 服务 器 复杂 的 IO 部 分 。 

InfiniBand SAN 采用 层次 结构 ， 将 系统 的 构成 与 接 入 设备 的 功能 定义 分 开 ， 不 同 的 主机 可 
通过 HCA (Host Channel Adapter) 、RAID 等 网 络 存 储 设 备 利 用 TCA 〈Target Channel Adapter ) 
接 入 InfiniBand SAN。 

InfiniBand 应 用 于 服务 器 群 和 存储 区 域 网 络 (SAN) ， 在 这 种 环境 中 性 能 问题 至 关 重 要 。 
该 种 结构 可 以 基于 信道 的 串口 奉 代 共用 总 线 ， 从 而 使 TO 子 系统 和 CPU/ 内 存 分 离 。 所 有 系统 和 
设备 《一 般 称 作 玉 点 ) 可 通过 信道 适配器 逻辑 连接 到 该 结构 ， 它 们 可 以 是 主机 《服务 器) 运 配 
髓 〈HCA) 或 目标 适配器 〈TCA) 。 该 种 结构 《包括 InfiniBand 交换 机 和 路 由 喜 ) 还 可 轻松 实 
现 扩展 ， 从 而 满足 不 断 增 长 的 需求 。InfiniBand 协议 可 满足 各 种 不 同 的 需求 ， 包 括 组 播 、 分 区 、 
IP 兼容 性 、 流 控制 和 速率 控制 等 。 

2) IB SAN 的 特性 

InfiniBand SAN 主要 具有 如 下 特性 : 

e。 可 伸缩 的 Switched Fabric 互 连 结构 ; 

e。 由 硬件 实现 的 传输 层 互 连 高 效 、 可 靠 ; 

e。 ， 文 持 多 个 虚 信 道 (Virtual Lanes) ; 

e。 人 硬件 实现 目 动 的 路 径 变 换 (Path Migration ) ; 

e。 高 带宽 ， 总 带宽 随 IB-Switch 规模 成 倍增 长 ; 

。 支持 SCSI 远程 DMA 协议 CSRP) ; 

e。 具有 较 高 的 容错 性 和 抗 毁 性 ， 文 持 热 插 拔 。 
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3) IB SAN 的 应 用 与 发 展 

在 InfiniBand 体系 结构 下 ， 可 以 实现 不 同形 式 的 存储 系统 ， 包 括 SAN 和 NAS。 基 于 
InfiniBand IO 路 径 的 SAN 存储 系统 有 两 种 实现 途径 :其 一 是 SAN 存储 设备 内 部 通过 InfiniBand 
IO 路 径 进 行 数据 通信 ，InfiniBand IO 路 径 取 代 PCI 或 高 速 串 行 总 线 ， 但 与 服务 器 /主机 系统 的 
连接 还 是 通过 FC LO 路 径 ; 其 二 是 SAN 存储 设备 和 主机 系统 利用 InfiniBand LO 路 径 取 代 FC LIO 
路 径 ， 实 现 彻底 的 基于 InfiniBand IO 路 径 的 存储 体系 结构 。 

InfiniBand 有 可 能 成 为 未 来 网 络 存 储 的 发 展 趋势 ， 原 因 在 于 : 1) InfiniBand 体系 结构 
经 过 特别 设计 ， 文 持 安全 的 信息 传递 模式 、 多 并 行 通 道 、 智 能 IO 控制 器 、 高 速 交 换 机 以 及 
高 可 靠 性 、 可 用 性 和 可 维护 性 ; (2) InfiniBand 体系 结构 具有 性 能 可 伸缩 性 和 较 广 泛 的 适用 
性 ; (3) InfiniBand 由 多 家 国际 大 公司 共同 发 起 ， 是 一 个 影响 广泛 的 业界 活动 。 

InfiniBand 应 用 于 服务 器 群 和 存储 区 网 络 (SAN) ， 但 它 的 模块 化 、 可 扩展 的 结构 以 及 灵 
活性 使 其 能 够 广泛 应 用 于 各 种 高 性 能 IO 的 结构 。InfiniBand 将 与 其 他 标准 兼容 ,如 以 太 网 和 其 
他 LAN 及 WAN。IfiniBand 可 作为 一 种 “通用 载体 ”技术 进行 应 用 ， 这 使 得 它 具备 了 解决 大 
型 集成 问题 的 潜力 。 


4.2.7 分布 式 存 储 系 统 


1. 概述 


随 独 大 数据 云 计 算 的 快速 发 展 和 广泛 应 用 , 传统 的 集中 式 存 储 系统 已 经 难以 满足 大 规模 数 
据 存 储 的 性 能 和 安全 要 求 ， 因 此 ， 越 来 越 多 的 厂家 利用 多 台 x86 服务 器 构建 分 布 式 网 络 存储 系 
统 ， 将 数据 分 散 地 存储 在 多 台独 立 的 设备 上 上， 如 Google GFS、Amazon 的 S3 等 。 在 开源 社区 
也 有 很 多 基于 x86 服务 器 构建 的 分 布 式 存储 系统 ， 和 常见 的 有 HDFS、GlusterFS、MooseFS、 
OpenStack Swife 等 。 上 述 这 些 分 布 式 存储 系统 主要 是 文件 存储 和 对 象 存储 ， 主 要 应 用 于 对 带宽 
和 符 吐 要 求 比较 高 的 业务 ,但 是 对 于 VDI (Virtual Desktop Infrastructure， 虚 拟 桌 面 基 础 架构 ) 、 
数据 库 OLAP (Online Analytical Processing， 联 机 分 析 处 理 ) 和 OLIP (Online Transaction 
Processing， 联 机 事务 处 理 ) 等 大 量 随 机 IO 和 时 延 敏 感 型 的 应 用 ， 通 常 需要 运行 在 分 布 式 块 存 
储 系统 上 。 

下 面 以 HDFS 为 例 价 单 介 绍 分 布 式 文件 存储 系统 的 组 成 和 数据 读 写 过 程 。 

如 图 4-14 所 示 ， 分 布 式 文件 存储 架构 由 三 个 部 分 组 成 : 客户 端 、 元 数据 节点 和 数据 存储 
让 点 。 客 户 端 负责 发 送 读 写 请 求 。 元 数据 节点 负责 管理 元 数据 和 处 理 客户 端的 请 求 ， 是 整个 系 
统 的 核心 组 件 。 数 据 存 储 节点 负责 存放 文件 数据 ， 保 证 数据 的 可 用 性 和 完整 性 。 
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数据 A 的 副本 1 数据 A 的 副本 2 ”数据 A 的 副本 3 


图 4-14 ”分布 式 文件 存储 架构 图 
分 布 式 文件 存储 系统 读 取 数据 和 写 入 数据 的 过 程 分 别 如 图 4-15、 图 4-16 所 示 。 


我 要 读 取 数据 A 
数据 A 在 节点 1 的 x x 地 址 


存储 节点 


数据 A 的 副本 1 数据 A 的 副本 2 “数据 A 的 副本 3 
图 4-15 ”分布 式 文件 存储 系统 读 取 数 据 示 意图 


2. 特点 


分 布 陈 存储 系统 具有 如 下 特点 : 

〈1) 高 扩展 性 : 分 布 式 存储 系统 支持 在 线 动态 横向 扩展 ， 在 采用 元 余 策 略 的 情况 下 任何 一 
个 存储 节点 的 上 线 和 下 线 对 前 端的 业务 没有 任何 的 影响 ， 完 全 是 透明 的 ， 并 且 系统 在 扩充 新 的 
仓储 节点 后 可 以 选择 自动 负载 均衡 ， 所 有 数据 的 压力 均匀 分 配 在 各 存储 节点 上 。 

《2) 高 性 能 : 分 布 式 存 储 系 统 相 比 传统 存储 ， 可 以 提供 更 高 的 聚合 IOPS 和 吞吐 量 ， 并 且 
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随 着 存储 节点 的 增加 而 线性 增长 ， 满 足 高 并 发 业务 的 快速 响应 需求 。 

(3) 大 容量 : 分 布 式 存 储 系统 通 第 采用 x86 服务 器 作为 存储 节点 ， 可 根据 业务 需要 横向 无 
限 扩展 存储 节点 ， 形 成 一 个 统一 的 共 亨 存储 池 。 

(4) 高 可 靠 性 : 传统 存储 系统 采用 RAID 来 保障 数据 可 靠 性 ， 而 分 布 式 存储 系统 采用 多 
副本 备份 的 方式 进行 数据 见 余 保 护 ， 每 份 数据 郡 会 在 不 同 存 储 节点 上 保存 多 个 副本 ， 当 某 个 
节点 发 生 故 障 时 ， 其 他 节点 保存 的 副本 数据 保证 数据 不 会 丢失 ， 同 时 系统 会 把 该 节点 的 故障 
数据 在 其 他 服务 器 上 重建 ， 来 满足 副本 数 的 保证 性 要 求 ， 重 建 时 会 把 数据 分 散 重 建 到 其 他 多 
个 不 同 的 存储 节点 上 ， 通 过 多 服务 器 并 发 会 大 大 加 快 重建 速度 ， 相 比 于 传统 RAID 数据 重建 
要 快 很 多 。 

(5) 低 成 本 : 分 布 式 存储 系统 一 般 采 用 x86 服务 器 这 样 的 低 成 本 设备 存储 , 通过 目 动 容错 、 
目 动 负载 均衡 等 功能 保障 存储 性 能 ， 其 新 建成 本 低 、 扩 容 成 本 低 。 


我 要 写 人 数据 B 


读 取 数 据 B ”存储 节点 


节点 1 节点 2 节点 3 节点 4 
aa 一 一 一 一 一 
Was 用 www 一 区 据 B 的 
副本 1 副本 3 
数据 A 数据 A 的 副本 1 数据 A 的 副本 2 数据 A 的 副本 3 


图 4-16 分布 式 文 件 存储 系统 写 入 数据 示意 图 
3. 运 维 管理 


传统 的 存储 系统 一 般 使 用 大 量 的 高 端 存 储 设 备 ( 如 EMC、IBM、NetApp、 华 为 、 肖 潮 等 ) ， 
设备 出 广 前 ， 已 经 预 安装 好 大 量 商 业 软件 和 管理 系统 ， 很 多 用 户 会 购买 三家 服务 ， 企 业 的 运 维 
管理 人 员 一 般 仅 负责 最 基本 的 运 维 管理 ， 运 维 难度 低 。 而 分 布 式 存储 系统 一 般 为 大 容量 、 大 规 
模 的 存储 系统 ,， 面 对 高 并 发 的 数据 访问 ， 需 随时 关注 系统 性 能 指标 ， 合 理 有 效 地 处 理 瓶 颈 问 题 ， 
同时 需要 保证 系统 的 可 用 性 和 随时 扩展 能 力 。 分 布 式 存 储 系统 一 般 都 是 采用 低 成 本 的 通用 服务 
器 和 以 太 网 构建 ， 使 用 的 多 为 普通 磁盘 ， 运 维 人 员 将 会 面 对 大 量 的 人 硬件 故障 问题 。 由 此 可 见 ， 
分 布 式 存 储 系统 的 管理 包括 存储 的 配置 、 租 户 、 容 量 、 性 能 、 事 件 以 及 变更 管理 工作 ， 如 何 管 
理 和 运 维 好 大 规模 分 布 式 存储 系统 ， 对 习惯 于 传统 存储 系统 运 维 的 存储 管理 员 来 说 是 个 挑战 。 

分 布 式 存 储 系统 的 维护 关键 包括 可 用 性 、 资 源 利用 率 、 变 更 效率 。 
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可 用 性 是 指 在 某 个 时 间 段 ， 系 统 能 够 正常 运行 的 概率 。 可 用 性 是 设备 或 者 系统 的 一 个 重要 
衡量 指标 。 各 个 可 用 性 级 别 的 情况 如 表 4-6 所 示 。 


表 4-6 可 用 性 级 别 表 


描述 年 度 停机 时 间 
基本 可 用 性 87.6 小 时 
较 高 可 用 性 8.8 小 时 
故障 自动 恢复 能 力 的 可 用 性 53 分 钟 
高 可 用 性 5 分钟 


资源 利用 率 是 对 所 有 服务 器 的 CPU 利用 率 、 内 存 利用 率 、 磁 盘 容量 利用 率 、 厂 盘 性 能 利 
用 率 、 网 络 利 用 率 等 设备 资源 使 用 情况 进行 统计 汇总 。 

提升 分 布 式 存储 系统 的 资源 利用 率 有 以 下 钊 用 办 法 : 

(1) 使 用 大 资源 池 ， 将 多 个 业务 应 用 部 普 在 同一 个 存储 资源 池 中 。 

(2) 根据 业务 需求 合理 分 配 资源 ， 通 过 监控 服务 器 资源 使 用 情况 ， 及 时 回收 空 朵 资源 。 

变更 包括 新 增 业 务 上 线 、 旧 业务 下 线 、 系 统 升级 等 。 通 过 部 署 目 动 化 、 监 控 上 自动 化 、 测 试 
自动化、 分 步骤 发 布 等 提升 系统 变更 效率 ， 保 隐 分 布 式 存储 系统 的 称 定 运行 。 


4.3 云 计 算 和 虚拟 化 


4.3.1 去 计算 


云 计 算 〈Cloud Computing) 最 初 是 指 分 布 式 计算 ， 目 前 所 说 的 云 计 算是 指 与 信息 技术 、 软 
件 、 互 联网 相关 的 一 种 服务 ， 把 许多 计算 资源 、 存 储 资源 、 网 络 资源 、 应 用 软件 等 集合 起 来 ， 
采用 虚拟 化 技术 ， 将 这 些 资源 池 化 ， 组 成 资源 共享 池 ， 我 们 一 般 把 这 个 共 宰 池 叫 作 “ 云 ”。 云 
计算 将 计算 能 力 、 存 储 能 力 等 商品 化 ， 根 据 客 户 的 定制 化 需求 ， 这 些 能 力 和 资源 能 够 快速 提供 
服务 ， 当 客户 不 再 需要 时 ， 可 回收 资源 ， 提 供给 其 他 客户 使 用 ， 有 具有 有 灵活 性 高 、 扩 展 性 强 、 性 
价 比 高 等 特点 。 

云 计 算 的 服务 类 型 分 为 三 类 ， 即 基础 设施 即 服务 (IaaS) 、 平 台 即 服务 (PaaS ) 和 软件 即 
服务 (SaaS) 。 

基础 设施 即 服务 ， 指 把 IT 基础 设施 作为 一 种 服务 通过 网 络 对 外 提供 ， 并 根据 用 户 对 资源 
的 实际 使 用 量 或 占用 量 进行 计 费 的 一 种 服务 类 型 ， 个 人 或 组 织 不 再 需要 建设 数据 中 心 等 基础 便 
件 设 施 ， 通 过 租赁 的 方式 ， 由 云 计 算 提 供 商 提供 各 类 虚拟 化 资源 ， 如 虚拟 机 、 存 储 、 网 络 和 操 
作 系 统 。 

平台 即 服务 ， 是 把 软件 研发 的 平台 作为 一 种 服务 ， 为 开发 人 员 提 供 通 过 全 球 互联 网 构建 应 
用 程序 和 服务 的 平台 ，Paasg 为 开发 、 测 试 和 管理 软件 应 用 程序 提供 按 需 开发 环境 ， 也 包括 该 平 
台 的 技术 支持 服务 ， 如 提供 Web 发 布 的 WebLogic、Tomcat 等 中 间 件 容器 平台 。 
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软件 即 服务 ， 通 过 互联 网 提供 按 需 软件 付费 应 用 程序 ， 云 计算 提供 商 托管 和 管理 软件 应 用 
程序 ， 并 允许 其 用 户 连接 到 应 用 程序 并 通过 全 球 互联 网 访问 应 用 程序 。 该 服务 模式 下 ， 软 件 不 
再 是 一 次 性 购置 商品 ， 而 是 按 次 收费 的 服务 ， 如 有 茶 连 锁 企 业 不 再 需要 购置 管理 软件 、 部 署 环 境 
等 信息 化 基础 设施 ， 只 需 购买 茶 云 计算 提供 商 提供 的 连锁 企业 管理 软件 服务 即 可 ， 降 低 成 本 ， 
可 且 受 更 专业 化 的 服务 。 


1. 云 计 算 的 发 展 


20 世纪 90 年 代 末 ， 随 着 互联 网 的 快速 发 展 和 普及 ， 企 业 信 息 化 规模 扩大 ， 应 用 场景 增多 ， 
为 满足 数据 运算 需求 ， 需 要 购置 运算 能 力 更 强 的 服务 器 ， 或 者 是 建设 数据 中 心 ， 由 此 导致 建设 
成 本 、 运 行 成 本 较 高 。2006 年 ， 亚 马 逊 、Google 等 公司 开始 将 弹性 计算 能 力作 为 云 服务 售卖 ， 
标志 痢 云 计 算 这 种 新 的 商业 模式 诞生 。Google 最 初 开发 云 计算 平台 只 是 为 了 能 把 大 量 廉 价 的 服 
务 器 集成 起 来 ， 完 成 超级 计算 机 的 计算 和 存储 功能 ;亚马逊 则 是 向 商家 和 网 站 出 售 计算 能 
2008 年 微软 发 布 云 计 算 战 略 和 平台 Windows Azure Platform， 尝 试 将 技术 和 服务 托管 化 、 线 上 
化 ; 同年 ， 网 购 的 快速 发 展 使 得 淘宝 用 户 激增 ， 传 统 IOE 架构 已 经 无 法 应 对 快速 增长 的 数据 处 
理 需 求 ， 使 得 阿里 巴巴 出 现 数据 处 理 瓶 颈 ， 人 至 此 开局 阿里 云 建设 。2009 年 ， 腾 讯 为 应 对 QQ 农 
场 “ 偷 表 ”的 火爆 ， 购 置 大量 的 服务 器 资源 ， 同 时 对 客户 开放 腾讯 的 计算 能 力 和 流量 ， 开 局 腾 
讯 云 的 原型 。2010 年 ， 腾 讯 云 正 式 对 外 提供 云 服 务 。 自 2010 年 后 ， 华 为 云 、 束 东 云 、 天 辟 云 、 
至 云 QingCloud、 人 金山 云 等 云 计算 平台 如 雨后春笋 般 出 现 ， 大 量 企业 信息 化 业务 上 云 和 资本 市 
场 的 大 量 涌 入 ， 人 快速 推动 云 计 算 产 业 发 展 。 


2. 云 计 算 的 核心 技术 


云 计算 主要 包括 以 下 几 项 核心 技术 : 

(1) 虚拟 化 技术 。 利 用 虚拟 化 技术 ， 将 服务 器 、 存 储 、 网 络 等 资源 组 成 一 个 迎 辑 的 资源 池 ， 
可 根据 用 户 的 需求 弹性 分 配 资源 。 

(2) 数据 存储 技术 ， 主 要 包括 海量 数据 和 结构 化 数据 的 存储 。 如 GFS (Google File System ) 
文件 系统 ， 应 用 场景 主要 是 大 文件 、 连 续 读 、 高 并 发 ， 可 以 文 持 PB 级 别 的 大 文件 ，BigTable 
是 一 个 为 管理 大 规模 结构 化 数据 而 设计 的 分 布 式 存储 系统 ， 可 以 扩展 到 PB 级 数据 和 上 王 台 服 
务 器 ; 开源 的 HBase 是 一 个 分 布 式 的 、 面 癌 列 的 开源 数据 库 ， 适 合 非 结构 化 数据 存储 。 

(3 ) 任务 和 资源 管理 技术 。 如 何 将 云 计 算 平 台 的 众多 服务 器 组 织 起 来 完成 一 项 大 型 任务 呢 ， 
这 就 需要 任务 和 资源 管理 工具 。 如 MapReduce 工具 可 以 将 一 个 大 型 任务 分 解 为 无 数 小 任务 ， 派 
发 到 不 同 的 服务 器 去 完成 ， 然 后 再 把 每 一 台 服 务 左 上 完成 的 小 任务 合并 起 来 ， 最 终 完成 整个 大 
任务 ， 开 铸 的 Hadoop 工具 束 是 一 个 分 布 式 计算 平台 ， 同 时 具有 存储 和 计算 资源 管理 功能 。 


3. 云 计 算 的 特点 


云 计算 具有 以 下 特点 : 
《1 ) 方便 的 数据 和 信息 共享 。 云 计算 使 得 用 户 可 以 通过 互联 网 , 随时 随地 访问 和 处 理 信息 ， 
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因为 数据 都 在 云端 ， 可 以 非 彰 方便 地 和 别人 共享 信息 。 

(2) 虚拟 化 ,包括 资 源 虚 拟 化 和 应 用 虚拟 化 。 采 用 虚拟 化 技术 ， 将 CPU、 内 存 、 硬 盘 等 资 
源 池 化 ， 实 现 资源 虚拟 化 ;将 应 用 程序 与 操作 系统 解 奈 合 ， 把 应 用 对 夺 层 的 系统 和 硬件 的 依赖 
抽象 出 来 ， 为 应 用 程序 提供 了 一 个 虚拟 的 运行 环境 ， 实 现 应 用 虚拟 化 。 

(3) 按 需 部 署 。 用 户 可 以 根据 不 同 的 应 用 需求 ， 选 择 合 适 的 计算 、 存 储 服务 能 力 和 软件 服 
务 ， 也 可 以 根据 业务 索 忙 程度 和 业务 处 理 需 求 ， 按 不 同时 段 购买 合适 的 服务 ， 区 约 成 本 。 

(4) 安全 可 靠 。 当 单 台 设 备 故障 时 ， 虚 拟 化 平台 会 将 当前 应 用 的 计算 、 存 储 上 自动 迁移 或 者 
在 其 他 服务 器 上 快速 恢复 ， 不 会 影响 业务 正常 运行 。 

(5) 兼容 性 强 。 云 计算 平台 将 CPU、 内 存 、 存 储 系 统 、 网 络 设备 、 文 撑 软 件 等 软 便 件 资源 
虚拟 化 后 ， 在 资源 池 中 进行 管理 ， 可 以 兼容 不 同 配置 的 机 右 、 不 同 广 商 的 硬件 产品 。 


4.3.2 ”虚拟 化 


虚拟 化 是 一 种 资源 管理 技术 ， 通 过 软件 的 方法 将 计算 机 的 各 种 实体 资源 《例如 服务 器 、 网 
络 、 存 储 等 ) 予以 抽象 、 转 换 后 呈现 出 来 ， 打 破 实体 结构 间 的 不 可 切割 的 障碍 ， 使 用 户 可 以 更 
方便 地 应 用 这 些 资源 ， 可 以 实现 开 资源 的 动态 分 配 、 灵 活 调度 、 路 域 共享 ， 提 高 IT 资源 利用 
率 。 常 见 的 虚拟 化 应 用 有 服务 器 虚拟 化 、 果 面 虚拟 化 、 网 络 虚拟 化 、 存 储 虚 拟 化 等 ， 下 面 详细 
介绍 服务 咒 虚 拟 化 和 果 面 虚拟 化 。 


1. 服务 器 虚拟 化 


通过 虚拟 化 软件 将 服务 器 物理 资源 抽象 成 逻 辑 资 源 ， 让 一 全 服务 需 变 成 几 人 台 甚 全 上 上 合 相 
互 隔 离 的 虚拟 服务 器 ， 不 再 受 限 于 物理 上 的 界限 ， 让 CPU、 内存、 磁盘 、LIO 等 便 件 变 成 可 以 
动态 管理 的 “资源 池 ”， 从 而 提高 资源 的 利用 率 ， 简 化 系统 管理 ， 实 现 服务 器 整合 ， 让 IT 对 业 
务 的 变化 更 具 适 应 力 。 

传统 体系 结构 与 虚拟 化 体系 结构 的 对 比如 图 4-17 所 示 。 传 统 方式 下 ， 操 作 系统 和 应 用 软 
件 都 基于 物理 计算 机 运行 ， 物 理 计算 机 与 其 运行 的 软件 之 间 存 在 一 对 一 的 关系 ， 这 种 关系 会 导 
致 大 多 数 计算 机 资源 未 得 到 充分 利用 ， 除 此 之 外 ， 物 理 服务 器 的 安装 、 配 置 都 需要 伦 费 较 多 时 
间 。 通 过 虚拟 化 技术 可 以 改变 服务 器 的 使 用 方式 ， 可 以 利用 虚拟 化 软件 构建 多 对 一 的 关系 ， 一 
台 物 理 服 务 器 上 配置 多 个 虚拟 机 ， 可 以 有 效 地 利用 资源 ， 轻 松 完 成 虚拟 机 备份 和 还 原 、 虚 拟 机 
的 路 物理 机 迁移 、 克 隆 和 模板 部 普 虚 拟 机 、 人 快速 重启 虚拟 机 等 功能 。 

如 图 4-18 所 示 ， 虚 拟 机 包含 一 组 规范 和 配置 文件 ， 并 由 物理 主机 提供 物理 资源 ， 每 个 虚 
拟 机 都 配 有 虚拟 资源 ， 包 括 CPU、 内 存 、 网 络 适 配器 、 磁 盘 和 控制 器 、 串 行 和 并 行 端口 等 ， 这 
些 虚 拟 资源 设备 可 提供 与 物理 便 件 相同 的 功能 ， 但 管理 更 方便 。 虽 然 多 个 虚拟 机 共 孚 一 合 物理 
主机 的 资源 ， 但 每 个 虚拟 机 之 间 相 互 隔离 ， 不 会 发 生 软 件 依赖 性 名 突 ， 如 有 打 一 全 虚拟 机 上 的 操 
作 系统 出 现 故 障 也 不 会 影响 其 他 虚拟 机 的 正常 运行 。 
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传统 体系 结构 虚拟 化 体系 结构 


图 4-17 ”传统 体系 结构 与 虚拟 化 体系 结构 对 比 图 


虚拟 机 虚拟 机 组 件 


。 操作 系统 
。 配置 文件 
。 虚拟 资源 
-CPU 和 内 存 
-网 络 适 配 贷 
-磁盘 和 控制 需 
- 串 行 和 并 行 端 口 


图 4-18 ”虚拟 机 组 件 


如 图 4-19 所 示 ， 物 理 主 机 的 CPU 按 需 求 分 配给 不 同 的 虚拟 机 ， 虚 拟 机 在 需要 时 下 
接 使 用 CPU 运行 指令 ， 而 非 仿 真 模式 ， 当 多 台 虚 拟 机 和 争 用 CPU 时 ， 主 机 将 为 所 有 虚拟 
机 分 配 物 理 机 CPU 的 使 用 时 段 , 这 样 , 每 台 虚 拟 机 运行 时 就 像 拥 有 指定 数量 的 虚拟 CPU 
一 

如 图 4-20 所 示 ， 虚 拟 机 通过 虚拟 交换 机 同 物理 主机 的 网 络 适 配器 通信 ， 一 个 虚拟 机 可 以 
配置 一 个 或 多 个 虚拟 机 以 太 网 适配器 ， 通 过 虚拟 交换 机 ， 同 一 台 物 理 主机 上 的 虚拟 机 可 以 使 用 
与 物理 交换 机 相同 的 协议 相互 通信 ， 虚 拟 交 换 机 还 支持 与 其 他 网 络 设备 的 标准 VLAN 兼容 的 
VLAN。 通 过 虚拟 网 络 交 换 机 ， 虚 拟 机 可 以 连接 到 外 部 网 络 ， 虚 拟 交 换 机 同 物 理 交 换 机 一 样 ， 
可 以 在 数据 链 路 层 转发 数据 帧 ， 虚 拟 交换 机 可 以 将 物理 主机 的 多 个 网 络 适 配器 绑 定 ， 实 现 链 路 
聚合 功能 ， 提 高 网 络 带宽 。 每 台 虚 拟 机 的 网 络 是 相互 隔离 的 ， 因 此 虚拟 交换 机 碍 找 的 每 个 目标 
只 能 与 发 出 帧 的 同一 虚拟 交换 机 上 的 端口 匹配 ， 提 高 网 络 安全 性 ， 防 止 黑 客 破 坏 虚 拟 交 换 机 陋 
离 。 虚 拟 交 换 机 还 支持 基于 端口 的 VLAN 划分 ,因此 可 以 将 每 个 端口 配置 为 访问 痛 口 或 中 继 端 
口 , 从 而 提供 对 单个 或 多 VLAN 的 访问 。 但 与 物理 交换 机 不 同 , 虚拟 交换 机 不 需要 生成 树 协 议 ， 
因为 它 强 制 使 用 单 层 网 络 连接 拓扑 ， 多 个 虚拟 交换 机 相互 之 间 无 法 连接 ， 同 一 合 主机 内 ， 网 络 
通信 流量 无 法 在 虚拟 交换 机 之 间 直 接 流动 。 
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图 4-19 CPU 虚拟 化 示意 图 图 4-20 网络 适 配器 虚拟 化 示意 图 


如 图 4-21 所 示 ， 多 人 台 物 理 主 机 连接 共享 存储 ， 使 得 虚拟 机 对 存储 池 进 行 共享 访问 ， 虚 拟 
机 的 数据 存储 于 共享 存储 上 ， 可 以 实现 虚拟 机 的 实时 迁移 、 负 载 均 衡 、 容 错 等 功能 。 各 虚拟 化 
软件 广 家 有 不 同 的 虚拟 化 集群 文件 系统 ， 如 VMware vSphere 的 VMEFS 文件 系统 ， 为 存储 资源 
提供 了 一 个 接口 ， 方 便 用 户 通 过 多 种 存储 协议 〈 光 纤 通 道 、 以 太 网 光纤 通道 、iSCSI) 访问 虚拟 
机 所 在 的 存储 系统 。VMFS 采用 分 布 式 锁定 方法 ， 加 强 了 虚拟 机 与 存储 资源 之 间 的 联系 ， 使 得 
虚拟 机 可 以 无 颖 地 加 入 到 集群 中 。 


共享 存储 


图 4-21 ”虚拟 机 连接 共享 存储 示意 图 
第 见 的 服务 器 虚拟 化 广 家 有 VMware、 华 为 、 新 华 三 等 。 从 市 场 占 有 来 看 ，VMware 产品 
优势 明显 ， 一 家 独 大 ， 不 过 随 着 国产 虚拟 化 软件 的 快速 发 展 ， 以 华为 、 新 华 三 为 代表 的 国产 虚 
拟 化 软件 在 不 断 挤占 国 外 虚拟 化 产品 的 市 场 份 额 。 
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虚拟 化 软件 的 常用 存储 方式 有 两 种 : 一 种 是 连接 独立 的 存储 系统 ， 为 各 计算 蔬 点 提供 共 吝 
存储 ， 该 方式 建设 成 本 高 ， 虚 拟 机 迁移 速度 快刀 一 种 是 利用 计算 节点 的 存储 资源 ， 基 于 分 布 
式 存 储 架 构 ， 将 各 计算 节点 的 存储 资源 组 成 馆 辑 的 存储 池 ， 如 VMware 的 vSAN、 华 为 的 超 融 
合 ， 该 方式 利用 廉价 磁盘 ， 有 效 降低 建设 成 本 ， 但 是 虚拟 机 路 节点 迁移 较 慢 。 


2. 桌面 虚拟 化 


桌面 虚拟 化 以 服务 器 虚拟 化 为 基础 ， 允 许多 个 用 户 梨 面 以 虚拟 机 的 形式 独立 运行 ， 同 
时 共享 CPU、 内 存 、 网 络 连接 和 存储 需 等 展 层 物理 硬件 资源 。 这 种 架构 将 虚拟 机 彼此 隔离 
开 来 ， 同 时 可 以 实现 精确 的 资源 分 配 ， 并 能 保护 用 户 免 受 由 其 他 用 户 活 动 所 造成 的 应 用 程 
序 裔 溃 和 操作 系统 故障 的 影响 。 用 户 通 过 网 络 使 用 瘦 客 户 机 登录 蝎 面 虚拟 化 系统 ， 使 用 服 
务 器 的 CPU、 内 存 、 网 络 连 接 和 存储 融 等 资源 ， 瘦 客户 机 仅 提 供用 户 梨 面 的 显示 输出 ， 以 
及 键盘 足 标 输入 。 

如 图 4-22 所 示 ， 桌 面 虚拟 化 由 桌面 虚拟 化 软件 、 服 务 器 、 存 储 系统 、 瘦 客户 机 等 组 
成 。 在 多 台 服 务 器 上 安装 虚拟 化 软件 ， 将 服务 器 池 化 ， 池 化 后 VDI 桌面 服务 喜 组 成 集群 。 
在 一 人 台 服 务 器 上 虚拟 出 多 台 虚 拟 机 ， 提 供 弹性 的 虚拟 柬 面 ， 服 务 器 为 用 户 提 供 CPU、 拓 
存 等 计算 资源 ， 每 个 用 户 有 一 个 专属 虚拟 机 ， 各 虚拟 机 之 间 相 互 隔离 ， 虚 拟 机 在 集群 里 可 
以 实现 定制 策略 迁移 、 手 动 热 迁 移 、 故 障 热 迁 移 ， 具 有 局 可 靠 、 平 滑 扩容 特性 ,便于 过 理 、 
监控 。 授 权 用 户 连接 至 集中 式 虚 拟 昌 面 ， 安 全 而 方便 地 访问 虚拟 茧 面 ， 升 级 和 修补 工作 都 
从 虚拟 化 桌面 管理 控制 台 集 中 进行 ,因此 可 以 有 效 地 管理 数 折 甚 全 数 和 干 个 条 面 ， 从 而 节约 
时 间 和 资源 。 


瘦 客 户 机 
图 4-22 ” 茧 面 虚拟 化 架构 图 
传统 PC 模式 与 果 面 虚拟 化 的 对 比 情 况 如 表 4-7 所 示 。 
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表 4-7 传统 PC 模式 与 桌面 虚拟 化 对 比 表 


大 上 ET 

网 络 上 仅 传 输 键盘 鼠标 信号 及 远程 屏幕 图 片 , 不 传输 
业务 数据 直接 在 网 络 上 传输 pa 

业务 数据 存储 在 终端 上 所 有 数据 存放 在 服务 器 上 ， 终 端 上 不 存储 业务 数据 
用 站 管理 。 于 终 端 缺少 集中 控制 手段 ,特别 是 外 集中 对 终端 用 户 权限 进行 控制 ， 例 如 禁止 上 传 下 载 、 
Wi 包 人 员 终 端 禁止 访问 特定 应 用 等 


终 痛 选 型 与 应 用 设计 密切 相关 文 持 常见 的 终端 设备 和 操作 系统 , 如 Windows、Linux 


部 署 成 本 高 , 尤其 是 对 客户 端 软件 版 | 应 用 软件 安装 配置 集中 化 , 减少 管理 和 支持 成 本 , 灵 
应 用 部 署 。 | 本 存在 特殊 要 求 活 支持 应 用 对 客户 端 软件 版 本 的 特殊 要 求 
FT 


带宽 占用 。” | 所 有 应 用 所 需 带宽 之 和 每 个 终端 占用 较 少 带宽 ， 与 应 用 数据 传输 无 关 
监管 审计 ”缺少 用 户 行为 监控 手段 对 用 户 的 操作 进行 录像 监控 

4.4 备份 系统 

4.4.1 数据 备份 结构 


常见 的 数据 备份 系统 主要 有 Host-Based、LAN-Based 和 基于 SAN 结构 的 LAN-EFree、 
LAN Server-Free 等 多 种 结构 。 


1. Host-Based 备份 方式 


Host-Based 是 传统 的 数据 备份 结构 ， 该 结构 中 磁 囊 库 直 接 接 在 服务 右上， 而 且 只 为 该 服务 
器 提供 数据 备份 服务 。 一 般 情 况 下 ， 这 种 备份 大 多 采用 服务 右上 目 带 的 磁带 机 ， 而 备份 操作 通 
常 是 通过 手工 操作 的 方式 进行 的 。 另 外 ， 不 同 的 操作 系统 平台 使 用 的 备份 恢复 程序 一 般 也 不 相 
同 ， 这 使 得 备份 工作 和 对 资源 的 总 体 管理 变 得 更 加 复杂 。 

Host-Based 备份 结构 的 优点 是 数据 传输 速度 快 ， 备 份 管 理 简 单 ; 缺点 是 不 利于 备份 系统 的 
共享 ， 不 适合 于 现在 大 型 的 数据 备份 要 求 。 


2.LAN-Based 备份 方式 


在 LAN-Based 数据 备份 结构 中 ， 数 据 的 传输 是 以 网 络 为 基础 的 。 其 中 配置 一 台 服 务 嚣 作 
为 备份 服务 器 ， 由 它 负责 整个 系统 的 备份 操作 。 磁 带 库 则 接 在 茶 台 服务 器 上 ， 在 数据 备份 时 备 
份 对 象 把 数据 通过 网 络 传输 到 磁带 库 中 实现 备份 。 

LAN-Based 备份 结构 的 优点 是 节省 投资 、 磁 带 库 共享 、 集 中 备份 管理 ;缺点 是 对 网 络 传输 
压力 大 。 
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3.LAN-Free 备份 方式 


LAN-Free 和 Server-Free 的 备份 系统 是 建立 在 SAN (存储 区 域 网 ) 的 基础 上 的 。 基 于 SAN 
的 备份 是 一 种 彻底 解决 传统 备份 方式 需要 占用 LAN 带宽 问题 的 方案 。 它 采用 一 种 全 新 的 体系 结 
构 ， 将 磁带 库 和 磁盘 阵列 各 自作 为 独立 的 光纤 节点 ， 多 台 主 机 共享 磁带 库 备 份 时 ， 数 据 流 不 再 经 
过 网 络 而 直接 从 磁盘 阵列 传 到 磁带 库 内 ， 是 一 种 无 需 占 用 网 络 带宽 (LAN-Free) 的 解决 方案 。 

目前 随 着 SAN 技术 的 不 断 进步 ，LAN-Free 的 结构 已 经 相当 成 熟 。LAN-Free 的 优点 是 数 
据 备份 统一 管理 、 备 份 速度 快 、 网 络 传输 压力 小 、 磁 带 库 资 源 共 享 ， 缺 点 是 投资 高 。 


4.LAN Server-Free 备份 方式 


LAN Server-Free 备份 方式 是 以 全 面 的 释放 网 络 和 服务 器 资源 为 目的 的 。 它 的 核心 是 在 SAN 
的 交换 层 实现 数据 的 复制 工作 ， 这 样 备份 数据 不 仅 无 需 经 过 网 络 ， 而 且 也 不 必 经 过 应 用 服务 器 
的 总 线 ， 完 全 保证 了 网 络 和 应 用 服务 器 的 高 效 运行 。 目 前 一 些 广 商 在 这 方面 推出 了 相关 产品 和 
解决 方案 ， 但 是 比较 成 熟 且 开放 性 好 的 产品 还 在 进一步 及 展 中 。 到 目前 为 止 ，LAN Server-Free 
技术 已 经 成 为 所 有 相关 三 商 争 相 妃 逐 的 目标 ， 无 疑 是 备份 技术 领域 内 最 大 的 热点 ， 相 信和 在 不 久 
之 后 ， 用 户 就 可 以 真正 享受 到 这 一 新 技术 读 来 的 成 果 。 

目前 主流 的 备份 软件 ， 如 IJBM Tivoli、Veritas 等 ， 均 文 持 LAN-Based、LAN-Free、LAN 
Serve-Free 三 种 备份 方案 。 这 三 种 方案 中 ，LAN-Based 备份 数据 量 最 小 ， 对 服务 右 资 源 占 用 最 
多 ， 成 本 最 低 ， LAN-Free 备份 数据 量 大 一 些 ， 对 服务 器 资源 占用 小 一 些 ， 成 本 高 一 些 ，LAN 
Server-Free 备份 方案 能 够 在 短 时 间 备 份 大 量 数据 ， 对 服务 器 资源 占用 最 少 ， 但 成 本 最 高 。 


4.4.2 备份 软件 


一 般 磁带 驱动 器 的 三 商 并 不 提供 设备 的 驱动 程序 ， 对 磁带 驱动 器 的 管理 和 控制 工作 完全 是 备 
份 软件 的 任务 ， 磁 带 的 卷 动 、 厨 吐 磁带 等 机 械 动 作 ， 都 要 重 备 份 软件 的 控制 来 完成 。 所 以 ， 备 份 软 
件 和 磁带 机 之 间 存 在 一 个 兼容 性 的 问题 ， 这 两 者 之 间 必 须 互 相 文 持 ， 备 份 系统 才能 得 以 正 癌 工作 。 

与 倒 带 张 动 吉 一 样 ， 磁 囊 库 的 厂商 也 不 提供 任何 驱动 程序 ， 机 械 动 作 的 管理 和 控制 全 部 由 
备份 软件 负责 。 与 磁带 张 动 器 相 区 别 的 是 ， 磁 带 库 具 有 更 复杂 的 内 部 结构 ， 备 份 软件 的 管理 相 
应 的 也 就 更 复杂 。 人 例如， 机械手 的 动作 和 位 置 、 厂 带 仓 的 模 位 等 。 这 些 管理 工作 的 复杂 程度 比 
单一 磁带 驱动 器 要 高 出 很 多 ， 所 以 几乎 所 有 的 备份 软件 都 是 免费 文 持 单 一 们 带 机 的 管理 ， 而 对 
磁带 库 的 管理 则 要 收取 一 定 的 费用 。 

作为 全 自动 的 系统 ， 备 份 软件 必须 对 备份 下 来 的 数据 进行 统一 管理 和 维护 。 在 简单 的 情况 
下 ， 备 份 软件 只 需要 记 住 数 据 存 放 的 位 置 就 可 以 了 ， 这 一 般 是 依靠 建立 一 个 索引 来 完成 的 。 然 
而 随 着 技术 的 进步 ， 备 份 系统 的 数据 保存 方式 也 越 来 越 复 杂 多 变 。 例 如 ， 一 些 备份 软件 允许 多 
个 文件 同时 写 入 一 盘 人 磁带 ， 这 时 备份 数据 的 管理 就 不 再 像 传统 方式 下 那么 简单 了 ， 人 往往 需 要 建 
立 多 重 索 引 才 能 定位 数据 。 

数据 格式 也 是 一 个 需要 关心 的 问题 。 就 像 磁 盘 有 不 同 的 文件 系统 格 云 一 样 ， 破 市 的 组 织 也 
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有 不 同 的 格式 。 一 般 备 份 软件 会 文 持 奋 干 种 磁带 格式 ， 以 保证 自己 的 开放 性 和 兼容 性 ， 但 是 使 
用 通用 的 磁带 格式 也 会 损失 一 部 分 性 能 。 所 以 ， 大 型 备份 软件 一 般 还 是 偶 爱 茶 种 特殊 的 格 却 。 
这 些 专用 的 格式 一 般 都 具有 高 容量 、 高 备份 性 能 的 优势 ， 但 是 需要 注意 的 是 ， 特 殊 格 式 对 恢复 
工作 来 说 ， 是 一 个 不 小 的 隐患 。 

备份 策略 制定 同样 是 一 个 重要 部 分 。 需 要 备份 的 数据 都 存在 一 个 208 原则 , 即 20% 的 数据 被 更 
新 的 概率 是 80%。 这 个 原则 说 明 , 每 次 备份 都 完整 地 复制 所 有 数据 是 一 种 非常 不 合理 的 做 法 。 事 实 
上 ,真实 环境 中 的 备份 工作 往往 是 基于 一 次 完整 备份 之 后 的 增 量 或 差 量 备份 。 那 么 完整 备份 与 增 量 
备份 和 关 量 备份 之 间 如 何 组 合 ， 才 能 最 有 效 地 实现 备份 保护 ， 这 正 是 备份 策略 所 关心 的 问题 。 

另外 ， 还 有 工作 过 程控 制 。 根 据 预 先 制定 的 规则 和 策略 ， 备 份 工 作 何 时 局 动 ， 对 哪些 数据 
进行 备份 ， 以 及 工作 过 程 中 意外 情况 的 处 理 ， 这 些 都 是 备份 软件 需要 注意 的 问题 。 这 其 中 包括 
了 与 数据 库 应 用 的 配合 接口 ， 也 包括 了 一 些 备份 软件 目 身 的 特殊 功能 。 例 如 ， 很 多 情况 下 需要 
对 打开 的 文件 进行 备份 ， 这 就 需要 备份 软件 能 够 在 保证 数据 完整 性 的 情况 下 ， 对 打开 的 文件 进 
行 操 作 。 另 外 ， 由 于 备份 工作 一 般 都 是 在 无 人 看 管 的 环境 下 进行 的 ， 一 旦 出 现 意外 ， 正 利 工 作 
无 法 继续 时 ， 备 份 软件 必须 能 够 具有 一 定 的 意外 处 理 能 

进行 数据 备份 是 为 了 数据 恢复 ， 所 以 数据 恢复 功能 自然 也 是 备份 软件 的 重要 部 分 。 很 多 备 
份 软件 对 数据 恢复 过 程 都 给 出 了 相当 强大 的 技术 文 持 和 保证 。 一 些 中 低 问 备份 软件 支持 智能 灾 
难 恢复 技术 ， 即 用 户 几 乎 无 需 干 预 数 据 恢 复 过 程 ， 只 要 利用 备份 数据 介质 ， 就 可 以 迅速 目 动 地 
恢复 数据 。 而 一 些 高 端的 备份 软件 在 恢复 时 ， 支 持 多 种 恢复 机 制 ， 用 户 可 以 灵活 地 选择 恢复 程 
度 和 恢复 方式 ， 极 大 地 方便 了 用 户 。 


4.4.3 备份 介质 


除了 备份 架构 的 新 进展 之 外 ， 在 备份 介质 的 选择 上 ， 也 出 现 了 一 些 新 的 趋势 。 

传统 的 备份 介质 主要 是 以 磁带 设备 为 主 ， 这 主要 是 因为 磁带 在 单位 容量 的 成 本 上 较 之 其 他 
介质 具有 非常 大 的 优势 。 但 是 随 着 技术 的 发 展 进 步 ， 尤 其 是 AIA 技术 的 发 展 ， 便 盘 的 成 本 在 迅 
速 下降 。 现 在 ， 在 一 些 场合 下 ， 磁 盘 作 为 备份 介质 的 优势 已 经 越 来 越 明 显 。 一 些 广 商 正在 看 力 
劝说 用 户 采 用 更 加 方便 高 效 的 磁盘 代替 磁带 作为 备份 介质 ， 更 有 一 些 广 商 甚 全 推出 了 包含 磁盘 
和 备份 软件 的 整体 设备 ， 即 备份 一 体 机 。 

事实 上 ， 磁 盘 作为 备份 介质 的 最 大 好 处 ， 就 是 其 介质 管理 工作 的 简化 和 性 能 的 提升 。 前 面 
提 到 过 ， 一 个 磁带 库 的 管理 工作 非常 的 复杂 人 烦 珊 ， 如 果 考 虑 到 对 不 同 三 家 的 不 同型 号 的 磁带 库 
产品 都 提供 良好 支持 的 话 ， 工 作 无 疑 是 极其 艰巨 的 ， 而 磁盘 介质 则 几乎 不 存在 这 样 的 问题 。 这 
也 是 备份 软件 三 商 看 好 磁盘 备份 的 理由 之 一 。 

然而 ， 磁 带 介 质 本 身 的 技术 发 展 并 没有 受到 这 一 理念 的 冲击 。 相 反 ， 就 在 磁盘 介质 加 离线 
存储 领域 进军 的 同时 ,磁带 介质 也 借 由 数据 迁移 技术 的 发 展 , 大 踏步 地 同 在 线 存 储 领 域 发 展 看 。 

数据 迁移 技术 也 称 为 分 层 存 储 管理 ， 是 一 种 将 离线 存储 与 在 线 存储 整合 的 技术 。 传 统 上 ， 
离线 数据 是 静态 的 ， 无 法 实时 地 被 访问 ， 而 数据 迁移 技术 冲破 了 这 一 限制 ， 将 离线 的 数据 与 在 
线 的 数据 统一 调度 ， 从 而 实现 所 有 数据 的 实时 访问 。 与 磁盘 备份 技术 相反 ， 这 一 技术 的 主要 目 
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的 就 是 以 一 定 的 存储 系统 性 能 为 代价 ， 换 取 大 型 海量 存储 系统 的 总 体 拥有 成 本 。 

数据 迁移 的 工作 原理 比 磁 盘 备 份 技术 略为 复杂 ， 如 图 4-23 所 示 。 人 简单 来 说 ， 就 是 将 大 量 
不 经 常 访问 的 数据 存放 在 磁带 库 等 离线 介质 上 ， 在 磁盘 阵列 上 只 保存 少量 访问 频率 高 的 数据 。 
当 那 些 磁 带 介 质 上 的 数据 被 访问 时 ， 系 统 目 动 地 把 这 些 数据 回迁 到 磁盘 阵列 中 ， 同 样 ， 厂 盘 阵 
列 中 很 久未 访问 的 数据 被 自动 迁移 到 磁带 介质 上 。 从 茶 种 意义 上 讲 ， 磁 盘 阵 列 以 一 个 磁 市 库 的 
“中 间 缓 存 ” 的 方式 被 使 用 ， 既 保证 了 大 多 数 情 况 下 数据 访问 的 啊 应 性 能 ， 也 避免 了 大 量 利用 
率 低 的 数据 长 期 占用 成 本 较 高 的 磁盘 空间 。 


On Line Data Near Line Data Off Line Data 


图 4-23 ”数据 迁移 的 工作 怕 理 


4.5 网 络 视 频 会 议 系 统 


视频 会 议 系统 是 一 种 支持 远 距 离 通信 ， 使 处 于 不 同 地 域 的 人 们 进行 实时 信息 交流 、 开 展 协 
同 工 作 的 应 用 系统 。 该 系统 不 仅 能 实时 传输 视频 和 音频 信息 ， 使 各 成 员 可 以 远 距 离 进行 理 观 、 
真实 的 音 视频 交流 ， 还 可 利用 其 他 媒体 技术 的 支持 ， 帮 助 各 成 员 处 理会 议 中 的 共享 信息 。 作 为 
一 种 现代 通信 方式 ， 视 频 会 议 也 是 一 个 国家 或 地 区 通信 发 展 水 平 的 重要 标 兰 之 一 。 


4.5.1 网 络 视频 会 议 系 统 的 工作 原理 


目前 在 网 络 上 运行 的 视频 会 议 按 技术 不 同 可 分 为 两 类 : 一 是 基于 单 播 网 络 和 也 .323 协议 族 
的 视频 会 议 ;， 二 是 基于 组 播 网 络 和 开放 软件 的 视频 会 议 

基于 单 播 网 络 和 H.323 协议 的 视频 会 议 系 统 ， 通 过 多 点 控制 单元 (MCU ) 建立 视频 会 议 网 
络 的 控制 平台 ， 实 现 视 频 会 议 终端 任意 多 点 的 视频 会 议 功能 。 从 理论 上 说 ， 只 要 卫 网 络 铺设 到 
的 地 方 均 可 以 安装 视频 会 议 终端 ， 成 为 会 议 室 或 远程 会 议 点 。 多 点 视频 会 议 的 实施 还 需要 做 很 
多 工作 ， 如 通过 BGP 调整 配置 来 保证 音 视 频数 据 传输 流畅 ;使 用 基于 LDAP 协议 的 分 布 式 目 
录 服 务 完 成 动态 地 址 之 间 的 通信 等 ， 以 保证 高 质量 视频 会 议 的 完成 。 

基于 卫 组 播 网 络 的 视频 会 议 系 统 ， 利 用 卫 组 播 (Multicast) 技术 可 构建 具有 组 播 能 力 的 
网 络 。 组 播 允 许 路 由 器 一 次 将 数据 包 复 制 到 多 个 通道 上 上， 降低 了 网 络 带宽 要 求 ， 有 效 节 省 传输 
带宽 ， 这 对 于 需要 在 多 点 之 间 传 输 流 媒体 的 视频 会 议 尤 其 具有 重要 意义 。 同 时 ， 卫 组 播 视 频 会 
议 系统 平台 不 需要 MCU， 通 过 软件 来 实现 视频 会 议 终端 任意 多 点 的 视频 会 议 功能 ， 大 大 节省 
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了 系统 成 本 。 

典型 的 H.323 协议 体系 涉及 终端 设备 、 视 频 、 音 频 和 数据 传输 、 通 信 控 制 、 网 络 接口 方面 
的 内 容 ， 还 包括 组 成 多 点 会 议 的 多 点 控制 单元 (MCU) 、 网 关 (GW) 以 及 网 守 〈GK ) 等 设备 。 

视频 终端 包括 : 可 软件 升级 的 了 .323 编码 器 、 摄 像 机 、 话 简 、 屏 幕 等 。 

网 关 的 主要 功能 是 信 令 处 理 H.323 协议 功能 、 语 音 编码 和 解码 以 及 路 由 协议 处 理 等 功能 ， 
对 外 分 别提 供与 PSTN 连接 的 中 继 接口 以 及 和 卫 网 络 连接 的 接口 。 

网 守 的 主要 功能 是 地 址 解 机、 带宽 管 理 、 用 户 认 证 、 路 由 管理 、 安 全 管理 和 区 域 管理 。 

多 点 控制 单元 (MCU ) 用 于 文 持 三 个 以 上 端点 设备 的 会 议 。 在 H.323 系统 中 ， 一 个 多 点 控 
制 单 元 由 一 个 多 点 控制 匿 〈MC) 和 几 个 多 点 处 理 器 (MP) 组 成 ， 可 以 不 包含 MP。 


4.5.2 ”网 络 视频 会 议 系 统 的 解决 方案 


现 阶段 视频 会 议 系统 的 解决 方案 主要 有 人 硬件 和 软件 两 类 ， 两 者 各 有 其 特点 。 一 般 而 言 ， 便 
件 视 频 系统 图 像 质量 高 ， 价 格 比 软件 视频 系统 高 出 许多 倍 ， 对 各 个 节点 也 有 硬件 环境 要 求 。 


1. 基于 硬件 的 视频 会 议 系 统 


随 独 网 络 技术 的 不 断 发展 ， 视 频 会 议 网 络 端 设备 技术 也 不 断 发 展 ， 传 统 的 语音 采用 PSTN 
传输 、 视 频 采 用 ISDN 〈H.320) 的 传输 方式 最 终 被 耻 〈H.323) 网 络 传输 所 代替 。 基 于 了 技术 
的 视频 会 议 系统 为 用 户 提 供 语 音 、 视 频 和 数据 的 三 网 合 一 的 服务 。 基 于 硬件 的 视频 会 议 系 统 的 
主要 技术 特点 如 下 : 

(1) 符合 国家 规定 的 行业 技术 标准 ， 如 ITU-T 的 H.323、H.320 标准 。 

(2) 音频 支持 G711、G722、G.728 等 协议 。 

(3) 视频 支持 H.261、H.263、H.263+、H.264 等 协议 。 

(4) 采用 MCU 控制 管理 ，MCU 具有 可 扩展 性 。 

(5) 具有 双 视 、 双 流 等 新 功能 。 

基于 便 件 的 视频 会 议 系 统 由 于 采用 的 是 便 件 编 解码 技术 ,要求 的 网 络 带 宽 在 S12kbps 以 上 ， 
具有 良好 的 显示 效果 ， 因 此 ， 显 示 终 端 多 采用 大 屏幕 电视 机 和 投影 机 。 


2. 基于 软件 的 视频 会 议 系 统 


软件 的 视频 会 议 系 统 可 以 利用 现 有 的 Internet 网 络 环境 和 计算 机 设备 ， 能 够 提供 较 高 的 音 
视频 质量 和 更 为 丰富 的 数据 协作 功能 。 基 于 软件 的 视频 会 议 系 统 的 主要 技术 特点 如 下 : 

(1) 兼容 ITU-T 的 H.323、H.320 标准 。 

(2) 视频 支持 MPEG4、H.264 等 视频 压缩 算法 。 

(3) 音频 采用 G723.1、G.711 和 GIPS 压缩 算法 。 

(4) 采用 服务 器 作为 MCU， 通 用 性 好 。 

基于 软件 的 视频 会 议 系统 看 力 于 解决 低 带 宽 下 的 网 络 视频 会 议 的 需要 ， 主 动 降低 了 图 像 的 
传送 帧 数 和 分 辨 率 〈 对 应 关系 见 表 4-8) ， 因 此 显示 终端 常 采 用 计算 机 显示 屏 ， 在 网 络 带 宽 较 
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高 且 比 较 稳定 的 情况 下 ， 也 可 采用 大 屏幕 电视 或 投影 机 。 
表 4-8 ”带宽 、 帧 数 和 分 辩 率 对 应 关系 表 


传输 速率 〈 帧 / 秒 ， 
4Mbps 30160 

1 
128kbps 一 384kbps 

2 
64kbps 一 128kbps 15~20 


4.5.3 ”网 络 视 频 会 议 系 统 选 型 


旭 


1. 制定 具体 需求 


视频 会 议 系 统 在 选 型 时 应 明确 如 下 需求 : 

(1) 要 考虑 是 用 软件 视频 会 议 系 统 还 是 便 件 视频 会 议 系 统 ， 还 是 软件 人 硬件 相 结合 。 

(2) 要 考虑 是 需要 国外 知名 品牌 产品 还 是 国内 知名 产品 ， 还 是 基本 实现 视频 功能 。 

(3 ) 确 定 视 频 会 议 同 时 在 线 的 点 数 ( 尤 其 是 对 软件 视频 会 议 , 因为 很 多 点 都 可 以 疲 客 户 关 )， 
人 硬件 则 以 建设 的 会 议 室 数 或 办 公 室 数 来 确定 。 

(4) 确定 视频 会 议 网 络 情况 ， 主 要 确定 是 内 部 局 域 网 还 是 专线 网 或 互联 网 。 

(5$) 确定 会 议 带 宽 〈 一 般 是 384kbps、768kbps、1Mbps、1.SMbps、2Mbps、4Mbps、8Mbps 
等 ， 以 1Mbps、2Mbps、4Mbps 居多 ) 。 

6) 确定 是 否 需要 高 清 视频 。 

(7) 判断 是 否 需 要 双流 〈 主 要 是 计算 机 资料 或 第 二 路 视频 显示 使 用 ， 多 用 在 数据 会 议和 远 
程 培训 上 ) 。 

(8) 判断 是 否 需 要 远 控 〈 主 要 是 远程 控制 摄像 机 ) 。 

《9) 如 条 是 硬件 视频 会 议 终 端 ， 判 断 是 需要 机 顶 盒 式 产品 还 是 分 体式 产品 。 

(10) 注意 不 同 品牌 的 视频 会 议 终端 摄像 机 的 配置 情况 ， 是 内 置 还 是 外 购 。 

(11) 确定 是 否 需 要 会 议 录 制 和 点 播 、 直 播 功 能 。 

12) 如 条 是 便 件 视频 会 议 系 统 ， 判 新 是 人 否 需要 电视 寺 功 能 〈 残 是 将 从 MCU 取得 的 信和 号 分 
路 独立 显示 在 不 同 的 监视 设备 上 ) 。 


2. 设备 选 型 原则 


视频 会 议 系 统 的 设备 选 型 原则 具体 如 下 : 
(1) 关键 设备 选用 基于 卫 的 网 络 视频 会 议 产 品 ， 符 合 当前 视频 会 议 系 统 发 展 方 问 。 
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(2) 系统 具备 多 媒体 通信 应 用 平台 的 特性 ， 可 扩展 性 强 ， 能 满足 未 来 发 展 要 求 。 

(3) 视频 方面 支持 MPEG-4 压缩 技术 ， 支 持 多 种 视频 格式 ， 文 持 多 分 屏 显 示 及 任意 切换 。 
若 需 高 清 视频 ， 则 系统 需 支 持 机 .264 视频 标准 。 

(4) 音频 方面 语音 清晰 流畅 ， 支 持 音 频 双 向 传输 。 

(3) 具备 必要 的 辅助 功能 ， 如 电子 白板 、 远 程 PPT 等 。 

(6) 界面 友好 、 使 用 方便 、 操 作 简 洁 。 

(7) 在 一 定 网 络 丢 包 率 的 情况 下 ， 视 频 和 语音 是 否 清晰 流畅 。 

(8) 实现 指定 分 辨 率 、 帧 传输 率 的 最 小 带宽 要 求 。 


4.5.4 网 络 视频 会 议 系 统 部 署 实 例 


1. 设备 配置 


视频 会 议 系 统 的 设备 由 三 部 分 组 成 , 即 中 控 系 统 、 主 会 场 的 设备 和 分 会 场 的 设备 , 如 图 4-24 
所 示 。 中 控 系 统 包 括 : MCU《〈 多 点 控制 单元 ) 、 会 议 管理 系统 、 防 火 墙 穿越 系统 、 录 播 服 务 器 。 
主 会 场 的 设备 包括 : 显示 屏幕 、 视 频 会 议 硬件 终端 、 摄 像 头 〈 或 摄像 机 ) 、 麦 克 风 和 音箱 。 分 
会 场 的 设备 包括 : 视频 会 议 便 件 终端 、 屏 幕 、 摄 像 头 〈 或 摄像 机 ) 、 麦 区 风 和 音箱 。 


控制 闯 K- 


幕 “” 摄 像 头 视频 会 议 硬 件 终端 


5 > 
CE 


控制 端 多 点 控制 单元 
MCU 


< 从 -AN 
视频 会 议 ”摄像 头 屏幕 
和 


是 


Internet 六 


主 会 场 


图 4-24 网 络 视频 会 议 系 统 
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2. 系统 结构 组 成 


中 控 系 统 : MCU 〈 多 点 控制 单元 ) 负责 整个 系统 的 音 、 视 频 交 换 。 会 议 管理 系统 对 所 有 视 
频 资 产 如 MCU、GK、 终 端 、 录 播 服务 器 进行 集中 管理 ， 具 有 内 置 GK 注册 管理 、 会 议 控 制 、 
会 议 预 约 、 拓 扑 图 生成 、 告 警 提 示 等 功能 。 录 播 服务 器 负责 会 议 视频 录制 ， 包 括 语音 、 双 流 的 
录制 、 点 播 以 及 直播 ， 最 好 可 以 支持 通过 手机 、PAD 等 移动 智能 设备 实现 点 播 。 防 火 墙 穿越 系 
统 负责 公私 网 的 穿越 、SIP 协议 用 户 的 接 入 等 。 

主 会 场 : 核心 设备 是 视频 服务 器 、 视 频 会 议 硬件 终端 。 视 频 信 号 和 音频 信号 通过 视频 会 议 
便 件 终端 传输 到 网 络 中 。 系 统 服务 器 端 软件 安装 在 主 会 场 ， 并 在 主 会 场 控 制 端 电脑 里 安装 客户 
端 软件 ， 管 理 员 可 通过 视频 软件 随意 跟 任何 一 个 分 会 场 的 参 会 人 员 通 话 ， 并 且 可 以 通过 监控 软 
件 对 分 会 场 的 图 像 和 声音 进行 控制 。 

分 会 场 : 核心 设备 是 视频 会 议 便 件 终端 。 视 频 信 号 和 音频 信和 号 直接 通过 视频 会 议 硬件 终端 
与 网 络 连 接 。 视 频 会 议 人 硬件 终端 与 分 会 场 的 屏幕 相连 ， 分 会 场 的 与 会 人 员 可 以 通过 麦克 风 与 主 
会 场 的 人 员 通 话 ， 主 会 场 的 图 像 和 声音 可 以 通过 电视 和 音箱 来 接收 。 

第 见 的 视频 会 议 系统 的 品牌 有 : 华为 、 宝 利通 (Polycom) 。 


4.6 ”其 他 网 络 资源 设备 


4.6.1 网 络 打印 机 


网 络 打 印 机 是 指 通 过 打印 服务 器 将 打印 机 接 入 局 域 网 或 者 Internet 的 独立 设备 。 网 络 打印 
机 摆 胶 了 一 直 以 来 作为 电脑 外 设 的 附属 地 位 ， 成 为 网 络 中 一 个 独立 的 节点 ， 一 个 信息 管理 与 输 
出 的 终 病 ， 用 户 可 以 直接 访问 并 使 用 网 络 打印 机 。 


1. 接 入 与 控制 


网 络 打印 机 要 正 向 工作 ， 一 定 要 先 接 入 网 络 。 目 前 有 两 种 接 入 的 方式 : 一 种 是 打印 机 目 带 
打印 服务 磺 〈 也 称 内 置 打 印 服务 器 ) ， 打 印 服务 器 上 有 网 络 接口 ， 只 需 插 入 网 线 分 配 卫 地 址 便 
可 工作 ;， 克 一 种 是 打印 机 使 用 外 置 的 打印 服务 器 ， 外 置 打 印 服务 器 一 般配 备 一 个 外 接 电源 ， 打 
印 机 通过 并 口 或 USB 口 与 打印 服务 器 连接 ， 打 印 服务 器 再 与 网 络 连接 。 

网 络 打印 机 一 般配 有 管理 软件 ， 通 过 管理 软件 可 以 从 远程 配置 打印 机 的 参数 ， 碍 看 并 控制 
打印 任务 。 网 络 打印 管理 软件 须根 据 打 印 需求 对 网 络 连接 性 能 进行 优化 ， 同 时 还 需要 与 打印 机 
内 部 控制 磺 很 好 地 匹配 ， 有 具有 一 定 的 网 络 流量 管理 和 打印 队列 管理 能 力 。 同 时 用 户 可 以 通过 它 
实现 打印 机 的 全 方位 管理 和 控制 ， 同 时 还 可 以 通过 网 络 及 时 进行 升级 。 


2. 性 能 指标 
网 络 打印 机 多 为 企业 、 单 位 办 公所 和 采用， 应 具有 较 高 的 打印 速度 和 较 好 的 打印 效果 。 出 于 
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环保 和 打印 成 本 的 考虑 ， 还 应 具有 较 低 的 打印 噪声 和 较 低 的 打印 成 本 。 网 络 打印 机 的 传统 打印 
部 分 大 多 采用 激光 打印 方式 ， 一 些 特殊 情况 则 根据 需要 采用 喷 墨 或 其 他 打印 方式 。 

网 络 打印 机 的 硬件 构成 分 为 打印 部 分 和 网 络 部 分 ， 这 两 方面 的 性 能 共同 决定 了 整 机 的 性 
能 。 综 合 考虑 有 几 个 重要 指标 是 值得 关注 的 : 打印 质量 、 打 印 速度 、 介 质 处 理 能 力 、 网 络 打印 
方式 、 设 备 接口 、 兼 容 性 、 管 理 软件 、 辅 助 功能 。 下 面 分 别 介绍 。 

1) 打印 质量 

打印 质量 是 一 个 重要 的 指标 ， 随 着 人 们 处 理 数据 的 类 型 越 来 越 多 ， 图 像 、 图 形 、 视 频 、 动 
、CAD、CAM、GIS 等 高 精度 信息 内 容 的 打印 也 越 来 越 多 ， 对 网 络 打 印 质量 的 要 求 也 越 来 越 
。 高端 产品 与 低 端 产品 的 区 别 往往 通过 该 指标 来 体现 。 不 同 的 用 户 对 打印 质量 有 不 同 的 需求 ， 
用 户 应 根据 上 自身 需求 来 决定 。 

现在 600dpi 的 分 辩 率 已 是 激光 打印 机 的 最 低 标准 , 用 户 选 购 时 应 选择 高 于 600dpi 的 机 型 。 
1200dpi 的 机 型 对 于 一 般 用 户 来 说 是 较 好 的 选择 。 

2) 打印 速度 

网 络 打印 机 一 般 工 作 量 比较 大 ， 打 印 速度 直接 影响 办 公 效 率 。 如 果 对 打印 速度 要 求 较 高 ， 
需 选 用 打印 引擎 速度 较 快 的 机 型 。 

此 外 ， 与 普通 打印 机 不 同 ， 网 络 打印 机 的 打印 速度 还 受到 内 置 处 理 器 速度 和 内 存 大 小 的 影 
响 。 网 络 打印 机 内 置 的 处 理 器 一 般 采 用 RISC 处 理 器 , 工作 频率 从 S0MHz 到 166MHz 或 者 更 高 。 
内 存 则 是 打印 机 专用 的 DIMM 内 存 ， 一 般 具 有 升级 功能 ， 以 便 日 后 扩充 内 存 。 有 的 网 络 打印 机 
还 配 有 内 置 硬盘 ， 打 印 时 一 次 读 取 打 印 数 据 存储 到 人 硬盘 上 ， 不 用 再 到 服务 器 上 重新 读 取 ， 从 而 
提高 了 批 处理 的 速度 。 因 此 是 否 选择 内 置 高 主 频 的 处 理 器 、 有 具备 大 容量 内 存 或 硬盘 的 网 络 打印 
机 ， 用 户 应 根据 目 身 需求 来 决定 。 

3) 介质 处 理 能 

介质 处 理 能 力也 是 衡量 打印 机 性 能 的 一 个 重要 方面 。 首 先 就 是 打印 机 可 打印 的 纸张 幅面 。 
利用 的 网 络 打 印 机 的 幅面 有 A4 和 A3 两 种 , 用 户 可 以 根据 日 常 处 理 文档 的 幅面 目 行 选择 。 一般 
A3 幅面 的 机 器 价格 要 比 A4 幅面 的 机 器 价格 高 出 很 多 ， 在 选 购 时 应 本 痢 够 用 的 原则 。 否 则 会 霹 
成 资源 的 当 费 。 

网 络 打 印 机 的 打印 任务 较 普 通 打印 机 更 为 繁重 ， 因 而 它 存 储 纸张 的 数量 也 是 一 个 重要 指 
标 。 网 络 打印 机 应 有 多 种 不 同类 型 的 存 纸 匣 以 满足 不 同 需要 ， 总 容量 应 超过 千张 。 另 外 ， 彩 色 
激光 打印 也 日 益 普及 ， 不 过 价格 稍 高 。 在 这 方面 ， 用 户 要 根据 自己 的 实际 情况 来 选择 。 

4) 网 络 打印 方式 

实现 网 络 打印 目前 主要 有 两 种 方式 : 外 置 打 印 服务 器 + 网 络 打 印 机 ， 称 之 为 “外 置式 ”; 
带 内 置 打 印 服务 器 的 网 络 打 印 机 ， 称 之 为 “内 置式 ”。 两 者 的 区 别 在 于 它们 实现 与 网 络 相连 的 
方式 不 同 。 外 置式 是 通过 外 置 打印 服务 器 来 转换 从 网 线 上 传 来 的 打印 任务 ， 然 后 通过 打印 机 并 
口 或 USB 口 送 到 打印 机 上 。 而 内 置式 是 直接 与 网 络 相 连 ， 打 印 任务 是 直接 从 网 络 接收 下 来 的 。 
外 置式 的 传输 速率 要 受到 并 口 或 USB 口 速 度 的 限制 ， 内 置式 则 直接 利用 打印 机 内 部 总 线 传输 ， 
速度 比 外 置式 快 。 外 置式 实现 方法 要 容易 些 ， 可 以 充分 利用 已 有 的 打印 机 资源 ， 而 内 置式 则 只 
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能 用 于 专用 型 号 的 打印 机 。 所 以 低 端 的 机 型 一 般 采 用 外 置式 的 方案 来 实现 网 络 打印 ， 而 高 端的 
机 型 则 采用 内 置 网 络 打印 服务 器 来 实现 网 络 打印 。 

$) 设备 接口 

网 络 打 印 机 内 置 打 印 服务 器 时 ， 网 络 接口 一 般 是 自 适 应 10M/100M 的 。 可 以 直接 连接 到 企 
业内 部 局 域 网 上 , 并 且 文 持 AppleTalk、IPX/SPX、TCP/P 等 网 络 协议 。 兼 容 多 种 网 络 系统 平台 ， 
包括 Windows、Macintosh、UNIX 等 操作 系统 。 

网 络 打 印 机 采用 外 置 打印 服务 器 时 ， 则 应 注意 在 接口 上 要 与 公司 实际 网 络 接口 类 型 保持 一 
致 ， 和 否则 所 购买 的 打印 服务 器 乃至 打印 机 都 不 能 在 自己 的 网 络 上 使 用 。 一 般 在 打印 服务 器 上 都 会 
有 多 种 连接 接口 供 选 择 ， 如 RJ-45 的 “以 太 网 接口 ”和 “ 令 牌 网 接口 ”，BNC 的 同 轴 电缆 接口 ， 
九 针 串 行 通信 接口 ，Mini-Din 8 必 接 口 等 。 选 择 时 一 定 要 注意 打印 服务 器 所 适应 的 接口 类 型 。 

6) 兼容 性 

目前 网 络 打 印 机 的 主要 生产 广 家 ， 在 打印 服务 喜 标 准 上 并 没有 达成 一 致 ， 也 就 是 说 彼此 还 
不 能 互相 兼容 ， 且 多 数 生 产 广 家 把 打印 服务 器 内 置 在 打印 机 主板 上 ， 但 也 有 少许 型 号 的 网 络 打 
印 机 的 打印 服务 器 是 可 选 配 的 ， 所 以 这 时 首先 就 要 看 清楚 你 所 选 购 的 打印 服务 器 是 用 在 什么 型 
号 的 网 络 打印 机 上 的 。 

7) 管理 软件 

网 络 打印 机 与 其 他 普通 打印 机 的 一 个 主要 区 别 就 在 于 ， 不 仅 需 要 打印 机 的 张 动 程 序 ， 而 且 
还 需要 一 个 网 络 打印 机 管理 软件 来 管理 网 络 打印 机 。 随 独 网 络 技术 的 飞速 发 展 ， 网 络 打印 机 的 
管理 软件 在 管理 方式 上 也 得 到 了 质 的 飞跃 ， 一 些 专业 的 打印 机 制造 商 ， 如 HP 公司 等 ， 就 把 网 
络 打印 机 的 管理 软件 从 本 地 电脑 搬 到 了 Web 上 。 如 果 有 这 方面 的 要 求 ， 就 要 选择 能 应 用 此 类 管 
理 软件 的 网 络 打 印 机 。 

8) 辅助 功能 

在 其 他 的 一 些 辅助 功能 上 ， 各 厂商 也 大 都 有 各 目的 特色 ， 如 EPSON 的 “作业 平衡 ”，HP 
的 “ColorSmart I ”等 ， 在 选择 时 应 该 多 了 解 所 选择 的 网 络 打印 机 的 此 类 辅助 功能 。 


4.6.2 网络 电话 系统 


网 络 电话 系统 是 一 种 利用 VoIP (Voice over Internet Protocol) 技术 ， 透 过 互联 网 实时 传输 
频 信 息 及 实现 双边 对 话 的 网 络 应 用 系统 。 网 络 电话 系统 一 般 包括 语音 网 关 (CGW)、 网 守 (GK )、 
络 电话 机 等 设备 。 

语音 网 关 扮 演 公 众 电话 网 络 及 卫 网 络 闻 的 桥 轨 角 色 ， 负 责 不 同 网 络 之 间 信 令 和 控制 信息 
的 转换 以 及 媒体 信息 变换 和 复 用 。 它 主要 的 功能 有 语音 的 压缩 /解压 缩 、 封 包 化 、 封 包 遗 失 补正 、 

音 的 消除 、 计 费 与 网 络 流量 的 监控 等 。 有 时 也 含有 网 关 管 理 的 功能 ， 如 安全 得 验 、 用 户 授权 、 
保存 通话 记录 资料 、 频 宽 的 动态 管理 、 实 时 性 的 网 络 资源 管理 、 平 衡 流 量 等 。 网 守 处 于 高 层 ， 
提供 对 端点 〈 终 端 、 网 关 、 多 点 控制 单元 统称 为 端点 ) 和 呼叫 的 管理 功能 ， 是 网 络 电话 系统 中 
的 重要 管理 实体 。 网 守 的 主要 功能 有 : 地 址 解析 、 接 入 控制 、 认 宽 管理 、 区 域 管理 等 四 项 基本 
功能 ; 此 外 ， 还 能 提供 呼叫 控制 信 令 、 呼 叫 管理 等 其 他 功能 。 网 络 电话 机 是 在 卫 网 络 上 遵循 一 
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定 的 协议 标准 进行 实时 通信 的 端点 设备 。 
1. 方案 及 设备 选 型 


对 于 网 络 电话 的 部 闭 ， 有 不 同 的 通信 方案 ， 根据 具体 需求 在 不 同情 况 下 又 需要 采取 不 同 的 
组 网 方案 和 设备 。 目 前 网 络 电话 系统 涉及 的 产品 包括 卫 网 关 、 耻 PBX(P 电话 交换 机 )、PC PBX 
(基于 PC 服务 器 的 小 型 瑟 电话 交换 机 ) 。 

(1) 方案 一 : VoIP 网 关 + 网 守 +PBX+ 了 电话 /模拟 电话 。 

VoIP 网 关 提 供 传统 的 语音 接口 ， 与 企业 现 有 的 电话 交换 机 〈PBX) 或 集团 电话 连接 ， 同 时 
连接 卫 网 络 ， 完 成 模拟 语音 信号 与 卫 数据 信号 之 间 的 相互 转换 。 其 主要 特点 是 充分 利用 现 有 
的 网 络 资源 ， 节 省 用 户 的 长 途 话费 ， 与 现 有 的 传统 电话 交换 机 〈PBX) 或 集团 电话 相 结 合 ， 可 
以 将 传统 语音 电话 转移 到 了 瑟 电话 上 。VoP 网 关 产 品 作为 一 种 成 熟 的 卫 电话 解决 方案 ， 在 许多 
大 型 单位 中 也 得 到 应 用 。 同 时 一 些小 型 VoIP 网 关 产 品 的 出 现 ， 也 给 中 小 型 用 户 带 来 极 大 好 处 ， 
这 类 产品 一 般 能 够 提供 1 路 、4 路 或 8 路 电话 中 继 接 口 ， 同 时 提供 傈 单 的 路 由 功能 和 网 络 接口 ， 
能 够 方便 地 将 单位 分 支 机 构 的 电话 交换 机 或 集团 电话 通过 卫 网 络 连接 起 来 。 

VoIP 网 关 型 的 应 用 是 将 卫 语音 网 关 的 专用 接口 同 总 部 或 分 文 机 构 的 PBX (小 型 交换 机 或 
集团 电话 ) 直接 相连 ， 当 需要 打 长 途 电话 时 ， 将 话音 转 到 VoIP 网 关上 ， 通 过 因特网 传输 。 用 
户 在 使 用 时 只 需 在 分 机 上 先 拨 卫 电话 特 服 号 ， 便 可 直接 拨打 卫 电话 。 

在 这 个 方案 中 ， 大 要 像 普 通电 话 那样 进 行 数字 号 码 拨号 ， 束 得 经 过 网 守 的 路 由 管理 ， 这 种 
设备 较 昂 贵 , 小 型 单位 可 借用 电信 运营 公司 的 网 守 来 实现 , 否则 只 能 拨打 卫 号 。 网 守 处 于 高 层 ， 
提供 对 端点 和 呼叫 的 管理 功能 。 

(2) 方案 二 : IP PBX+PBX+ IP 电话 /模拟 电话 。 

IPPBX (了 P 电话 交换 机 ) 是 一 种 基于 了 的 电话 交换 系统 ， 它 具有 传统 PBX 交换 机 的 所 有 
功能 ， 它 的 目标 是 取代 单位 内 部 原 有 的 PBX。 这 个 系统 可 以 完全 将 话音 通信 集成 到 卫 网 络 中 ， 
从 而 建立 能 够 连接 分 布 各 地 办 公 地 点 和 员工 的 统一 语音 数据 网 络 。 耻 PBX 最 显著 的 特征 是 成 为 
一 个 集成 通信 系统 ， 通 过 互联 网 ， 仅 需要 单一 设备 即 可 为 用 户 提供 语音 、 传 真 、 数 据 和 视频 等 
多 种 通信 方式 ， 建 立 中 、 小 型 的 呼叫 中 心 。 在 采用 卫 PBX 构建 的 VoIP 平台 上 ， 用 户 具 有 可 移 
动 的 特性 ， 形 象 地 说 就 是 同一 个 用 户 在 A 地 用 的 是 011 的 号 码 , 到 了 B 地 还 是 011 的 号 码 ， 号 
码 随 着 人 走 。 卫 PBX 还 支持 语音 信箱 、 多 方 会 议 、 视 频 会 议 等 传统 PBX 没有 的 功能 ， 有 助 于 
移动 办 公 和 异地 协同 办 公 。 

在 总 部 和 分 文 机 构 均 部 署 耻 PBX， 内 部 人 员 可 以 使 用 下 电话 或 是 普通 模拟 电话 连接 到 不 
同 的 下 PBX 上 。 对 于 经 常 出 差 的 人 士 ， 可 以 使 用 SPP 的 软件 电话 ， 通 过 笔记 本 实现 移动 通话 。 

若 总 部 和 所 有 分 支 单 位 都 使 用 固定 公 网 卫 上 互联 网 ， 各 点 的 卫 PBX 就 可 以 通过 了 对 卫 
实现 “点 对 点 ”通信 ， 能 直接 找到 双方 。 大 使 用 的 是 浮动 卫 ， 卫 不 断 变化 ， 就 需要 通过 网 守 
(GateKeeper) 来 进行 地 址 解析 了 ， 浮 动 耳 节点 会 在 卫 变更 时 间 GateKeeper 进行 卫 更 新 的 通 
知 动作 。 知 卫 PBX 集成 有 网 守 或 可 添加 网 守 模 块 ， 那 网 守 可 由 总 部 设 定 ， 奋 没有 ， 则 需要 通 
过 注册 GateKeeper 虚拟 运营 商 来 解决 。 
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(3 ) 方案 三 ;， PC PBX+PBX+ IP 电话 /模拟 电话 。 

基于 IP PBX 交换 机 的 平台 虽然 较 稳 定 ， 但 价格 昂贵 ， 规 模 较 小 的 单位 可 能 无 法 接受 。 虽 
然 这 些 单位 自身 的 规模 较 小 ， 但 同样 也 需要 稳定 、 性 能 好 的 系统 的 保证 。 于 是 ，PC PBX 应 运 
而 生 ， 业 界 通常 称 之 为 “应 用 服务 器 ”。 这 类 系统 基于 PC 服务 器 单独 用 电话 板 卡 加 软件 实现 
了 了 PBX、 自 动 电话 应 答 (IVR) 、 自 动 呼叫 分 配 (ACD ) 等 功能 。 

PC PBX 综合 了 VoIP 网 关 和 了 下 PBX 的 特点 ， 可 以 使 用 现 有 电话 线路 和 电话 机 ， 使 用 VoIP 
板 卡 实现 跨 卫 网 络 的 长 途 电话 。PC PBX 产品 提供 了 有 灵活 拓展 的 余地 ， 使 得 用 户 能 得 到 功能 
富 的 卫 通 信 ， 且 无 需 高 昂 的 费用 成 本 。 

构建 基于 PC 服务 器 + 呼叫 管理 软件 的 PC PBX 系统 作 为 在 总 部 设立 内 部 卫 电 话 网 的 控制 中 心 。 
该 控制 中 心 以 软件 方式 工作 ， 安 闭 在 一 全 服务 器 内 。 采 用 数字 中 继 网 关 与 原 有 PBX 的 El 中 继 接 
口 相 连 。 在 控制 中 心 的 服务 器 上 对 卫 电话 号 码 进行 分 配 ， 或 对 原 分 机 电话 的 拨号 方式 进行 设 定 。 
在 各 分 支 机 构 安装 卫 话机 或 语音 网 关 ， 根 据 实 际 需求 为 卫 话机 、 语 音 网 关 配 置 公 网 电话 号 码 。 

该 方案 除 安装 和 配置 都 非常 简便 外 ， 还 具有 恨 好 的 可 扩展 性 ， 在 带宽 许可 的 范围 内 ， 直 接 
加 闭 语 音 网 关 并 分 配 号 码 ， 便 立刻 实现 了 电话 扩容 。 在 保持 原 PBX 编号 方案 不 变 的 情况 下 ， 系 
统 内 通话 只 需 拨 分 机 号 。 


2. 系统 部 署 案 例 


系统 部 署 案 例如 图 4-25 所 示 ， 主 要 功能 是 实现 N 个 分 部 VoIP 通话 ， 各 分 部 内 部 也 能 实现 
各 自 的 VoIP 通话 。 


IP 电 话机 


Internet 


全 放电 ii ， 状 明 是 话 林 


图 4-25 ”网 络 电话 网 络 结构 图 
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案例 中 所 涉及 的 关键 设备 有 : 在 总 部 部 署 网 关 和 网 守 设 备 各 一 台 ， 各 分 部 部 署 一 台 网 关 。 
语音 网 关 提供 了 BE1 中 继 接 口 和 模拟 接口 ， 同 时 提供 简单 的 路 由 功能 和 网 络 接口 ， 方 便 地 将 各 
分 部 的 电话 通过 JP 网 络 连接 起 来 。 网 守 负 责 实现 地 址 解析 、 接 入 控制 、 带 宽 管理 、 区 域 管理 等 
核心 控制 功能 。 

一 般 有 两 种 号 码 规划 方法 : 一 种 是 纯 VoIP 电话 方案 , 自 定义 本 单位 内 部 的 VoIP 电话 号 码 ; 
另 一 种 是 使 用 原 有 的 电信 市 话 号 码 作为 VoIP 电话 的 电话 号 码 ， 并 做 “1 : 1 绑 定 ”。 

(1) 自 定义 VoIP 电话 号 码 。 这 各 方案 一 般 使 用 三 位 或 四 位 数字 来 规划 ， 号 码 随意 制订 。 
这 种 “ 纯 ” 的 VoIP 电话 组 网 , 也 就 是 没有 接 入 市 话 线路 , 因此 不 需 跟 市 话 号 码 做 “1 : 1 绑 定 ”。 
采用 自 定义 三 位 〈 数 字 ) 小 号 ， 在 前 面 加 各 市 区 号 来 组 合成 VoIP 电话 号 码 ， 本 地 〈 指 语音 风 
关内 部 ) 通话 直拨 小 号 ， 路 市 区 通话 ， 前 面 加 拨 区 号 ， 由 网 守 来 路 由 。 

(2) 使 用 原 有 电信 市 话 号 码 作为 对 应 的 VoIP 电话 号 码 。 这 种 方案 使 用 桌面 电话 的 原 有 电 
信 市 话 号 码 作为 内 部 VoIP 电话 的 号 码 ， 这 样 最 终 使 用 电话 的 用 户 还 是 按照 原来 的 拨号 方式 打 
电话 ， 用 户 并 不 知道 在 打 的 电话 是 经 过 网 络 还 是 经 过 电信 公司 的 市 话 线路 。 在 VoIP 网 络 通 
畅 时 ， 电 话 是 优先 经 过 VoIP 链 路 通话 的 ， 只 有 在 VoIP 出 现 故障 或 打 外 线 电话 时 ， 才 会 通过 电 
言 公司 市 话 线路 通话 。 


4.6.3 ”负载 均衡 系统 


负载 均衡 〈Load Balance) 的 意思 承 是 负载 分 摊 到 多 个 操作 单元 上 进行 执行 。 剃 见 的 有 链 
路 负载 均衡 和 应 用 负载 均衡 。 

链 路 负载 均衡 是 在 多 条 网 络 链 路 的 网 络 内 , 根据 每 条 链 路 和 子 网 的 流量 负载 情况 、 可 用 性 ， 
通过 负载 策略 或 算法 ， 进 行 有 效 管理 ， 保 障 链 路 的 灵活 性 和 可 用 性 。 

应 用 负载 均衡 是 将 业务 请 求 根 据 负载 策略 或 算法 ， 分 摊 到 多 服务 节点 上 进行 执行 ， 如 Web 
服务 器 、FTP 服务 器 、 企 业 关 键 应 用 服务 器 和 其 他 关键 任务 服务 器 等 ， 从 而 共同 完成 工作 任务 。 
应 用 负载 均衡 常见 的 有 基于 4 层 和 7 层 的 两 种 负载 均衡 方式 。 

负载 均衡 系统 音 用 算法 有 散 列 法 、 轮 询 算 法 、 最 少 连接 、 加 权 轮 询 算 法 、 加 权 最 少 连 接 、 
最 大 加 权 值 及 动态 负载 均衡 算法 等 。 

轮 询 算 法 〈Round Robin) 是 轮流 选择 服务 器 的 算法 ， 不 考虑 服务 器 的 处 理 能 力 而 同等 对 
竺 所 有 服务 器 。 如 有 三 台 服 务 器 对 外 提供 服务 ， 第 一 次 选择 第 一 台 服 务 器 ， 其 次 选择 第 二 台 服 
务 器 ， 然 后 选择 第 三 台 服 务 器 。 当 所 有 服务 器 的 处 理 能 力 相 同时 ， 轮 询 算法 比较 有 效率 。 

最 少 连接 〈Least Connection ) 是 通过 实时 确认 一 个 服务 中 每 台 服 务 器 的 连接 数 ， 选 择 当 前 
连接 数 最 少 的 服务 器 的 算法 。 

4-26 所 示 为 链 路 负载 均衡 工作 过 程 图 。 具 体 过 程 如 下 : 

(1) HostA 加 ServerA 发 送 数据 包 。 

《2) 负载 均衡 系统 收 到 此 数据 包 后 ， 确 认 数据 包 是 否 符合 链 路 负载 的 过 滤 条 件 ， 过 滤 条 件 
有 源 /目的 卫 地 址 、 协 议 、 端 口 等 。 如 果 有 一 个 以 上 链 路 负载 服务 ， 先 适用 优先 级 最 高 的 服务 
的 过 滤 条 件 ， 如 果 不 符合 此 条 件 再 与 其 次 服务 的 过 滤 条 件 进 行 比较 。 
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(3) 当 数 据 包 符 合 过 滤 条 件 时 ， 根 据 相 应 的 链 路 负载 服务 的 负载 均衡 算法 选择 一 条 链 路 ， 
如 路 由 器 (RouterA) 。 

(4) 使 用 NAT 功能 ， 将 数据 包 的 源 卫 地 址 转换 为 NAT 卫 地 址 后 ， 发 送 至 外 部 网 络 。 

(5$) ServerA 收 到 此 数据 包 后 ， 发 送 目的 卫 为 NAT 了 PP 的 应 答 数 据 包 。 

(6) 负载 均衡 系统 收 到 应 答 数据 包 后 ， 通 过 条 目 将 应 答 数据 包 的 目的 王 地 址 (NATIP) 
转换 为 HostA 的 王 地 址 ， 并 发 送 至 内 部 网 络 。 


Router A  、，， Router B 


图 4-26“” 链 路 负载 均衡 工作 过 程 图 


对 于 客户 端 (HostA) 的 请 求 ， 负 载 均衡 系统 将 客户 端 请 求 的 虚拟 卫 转换 为 内 部 地 址 ， 并 
根据 负载 均衡 策略 ， 转 发 给 服务 器 〈Server A) 。 对 于 服务 器 的 应 答 ， 负 载 均 衡 系 统 将 服务 器 
(CServerA) 的 内 部 地 址 转换 为 虚拟 卫 后 转发 给 客户 端 。 图 4-27 为 L4 服务 吉 应 用 负载 均衡 服务 
中 ， 客 户 端 和 真实 服务 器 之 间 数 据 包 的 源 /目的 王 地 址 的 转换 过 程 图 。 根 据 业 务 需 求 ， 服 务 器 
应 用 负载 均衡 有 多 重 解 决 方案 ， 图 4-27 仅 为 其 中 一 种 实现 方式 。 

L4 负载 均衡 是 根据 TCP/P 协议 中 的 卫 地 址 和 TCP/UDP 端口 号 进行 负载 均衡 ， 而 7 负 
载 均衡 是 通过 检查 TCP 有 效 负 载 直 接 利用 应 用 层 数据 进行 负载 均衡 。 

L7 负载 均衡 工作 过 程 如 图 4-28 所 示 ，HTTP 请 求 根据 域名 或 者 其 他 规则 进行 匹配 ， 再 根 
据 负载 均衡 策略 转发 到 具体 服务 器 ， 进 行 响应 。 目 前 ，L7 所 转发 的 基本 都 是 基于 HTTP 80 或 
者 HITPS 443， 一 般 广 家 的 设备 不 可 选择 服务 端口 。 
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Host A 


负载 均衡 服务 
VIP1 


图 4-27 L4 应 用 负载 均衡 工作 过 程 图 


负载 均衡 服务 
VIP1 


Server A Server B 


图 4-28 7 应 用 负载 均衡 工作 过 程 图 


互联 网 的 开放 性 也 存在 着 较 大 的 安全 隐患 。 本 草 从 网 络 安全 管理 制度 、 面 临 的 威胁 、 数 据 
通信 的 加 密 、 认 证 技术 等 方面 ， 讨 论 互联 网 目前 面临 和 存在 的 问题 及 其 解决 思路 和 方案 。 


5.1 安全 管理 策略 和 制度 


网 络 安全 是 一 个 综合 性 很 强 的 领域 , 技术 防范 无 颖 是 其 最 为 重要 的 一 个 方面 , 设备 的 管理 、 
环境 要 求 的 管理 等 管理 制度 和 工作 人 员 操 作 规 范 符合 安全 要 求 也 是 其 非 钊 重要 的 一 个 方面 。 本 
节 主 要 讨论 网 络 安全 管理 方面 的 问题 。 


5.1.1 信息 安全 策略 


信息 安全 策略 是 信息 安全 管理 的 重要 组 成 部 分 。 在 制定 信息 安全 策略 时 必须 遵循 三 个 诛 
则 : 严格 的 法 律 、 法 规 是 保障 信息 系统 安全 的 坚 台 后 盾 ; 先进 的 网 络 安全 技术 与 安全 产品 是 信 
恩 安 全 的 根本 保证 ;先进 严格 的 安全 管理 是 确保 信息 安全 策略 实施 的 基础 。 随 痢 网 络 应 用 以 及 
网 络 安全 拉 术 的 不 断 有 发 展 ， 安 全 宋 略 的 制定 和 实施 是 一 个 动态 的 延续 过 程 ， 可 以 请 有 经 验 的 安 
全 专家 或 购买 服务 商 的 专业 服务 。 网 络 安全 服务 建设 不 可 能 仅 依靠 公司 提供 的 安全 服务 ， 不 是 
所 有 的 网 络 都 需要 所 有 的 安全 技术 ， 何 况 有 些 安全 技术 本 喘 并 不 成 熟 ， 只 有 采取 适当 防护 、 重 
点 突出 的 策略 ， 才 能 有 的 放 矢 ， 不 会 盲目 跟风 。 不 同 的 网 络 有 不 同 的 安全 需求 ， 内 部 局 域 网 和 
互联 网 接 入 有 不 同 的 要 求 ， 涉 密 计算 机 的 管理 与 非 涉 密 计算 机 的 管理 不 同 。 应 该 遭 照 国家 和 本 
部 门 有 关 信 息 安 全 的 技术 标准 和 管理 规范 ， 针 对 本 部 门 专项 应 用 ， 对 数据 管理 和 系统 流程 的 各 
个 环节 进行 安全 评估 ， 确 定 使 用 的 安全 技术 ， 设 定安 全 应 用 等 级 ， 明 确 人 员 职 责 ， 制 定安 全 分 
步 实施 方案 ， 达 到 安全 和 应 用 的 科学 平衡 。 网 络 安全 最 大 的 威胁 不 是 来 自 外 部 ， 而 是 内 部 人 员 
对 网 络 安 全 知识 的 缺乏 。 人 是 信息 安全 目标 实现 的 主体 ， 网 络 安全 需要 全 体 人 员 共 同 努 力 ， 吉 
免 出 现 “ 木 桶 效应 ”。 信 息 安 全 策略 应 该 全 面 地 保护 信息 系统 整体 的 安全 ， 在 设计 时 主要 考虑 
如 下 几 个 方面 的 问题 。 


1. 物理 安全 策略 


物理 安全 是 指 在 物理 介质 层次 上 对 存储 和 传输 的 网 络 信息 进行 安全 保护 ,是 网 络 信息 安全 
的 基本 保障 。 建 立 物 理 安全 体系 结构 应 从 三 个 方面 考虑 : 一 是 目 然 灾 害 、 物 理 损坏 和 设备 故障 ; 
二 和 古 电 磁 和 辐射、 乘虚 而 入 、 痕 迹 泄露 等 ， 三 是 操作 失误 、 意 外 臣 漏 等 。 

物理 网 络 的 基础 设施 包括 物理 介质 的 选择 和 网 络 拓扑 结构 。 从 安全 的 角度 看 ， 应 根据 电线 
中 所 传输 信息 的 敏感 程度 来 为 不 同 网 段 选择 线 缆 的 类 型 。 


国 cc 国 时 网 络 规划 设计 师 教 程 (第 2 版 ) 


物理 安全 控制 是 对 物理 基础 设施 、 物 理 设备 安全 和 物理 访问 的 控制 。 对 于 现 有 的 网 络 ， 如 
果 为 了 适应 已 经 改变 的 环境 而 正在 创建 或 修改 安全 策略 ， 就 有 必要 更 改 物理 基础 设施 ， 改 变 茶 
些 关 键 设 备 的 物理 位 置 , 使 安全 策略 更 容易 实施 .如果 已 经 将 物理 安全 控制 与 安全 策略 相 结合 ， 
那么 当 企 业 需 要 扩充 和 增加 新 的 站 点 时 ， 怠 应 该 在 创建 站 点 的 同时 考虑 网 络 的 物理 安全 控制 。 
受 限 区 域 的 物理 访问 需要 主要 根据 分 析 或 物理 安全 调查 的 结果 来 决定 ， 严 格 限制 接近 机 柜 和 关 
键 网 络 基础 设施 设备 所 在 地 ， 除 非 经 过 授权 或 因 工 作 需 要 ， 否 则 将 禁止 接近 这 些 区 域 。 为 保 
护 关 键 的 网 络 资源 ， 必 须 安装 和 实施 充分 的 环境 安全 保护 。 环 境 安全 保护 包括 : 水 灾 的 预防 、 
监测 和 恢复 ;水害 预防 、 监 测 和 恢复 ; 电源 保护 ; 温度 控制 ;湿度 控制 ， 保 护 免 受 自然 灾害 
的 侵袭 ， 包 括 地 震 、 闪 电 和 风暴 等 ， 保 护 不 受过 量 磁 场 和 干扰; 制定 良好 的 清洁 制度 ， 减 少 尘 
土 和 垃圾 。 

机 房 和 办 公 场 地 《放置 终端 计算 机 设备 ) 的 环境 条 件 应 具有 基本 的 防震 、 防 风 和 防 十 等 能 
力 ， 避 免 在 建筑 物 的 高 层 或 地 下 室 ， 避 免 设 在 强 电场 、 强 磁场 、 强 震动 源 、 强 噪声 源 、 重 度 环 
境 污 染 、 易 发 生火 灾 、 水 灾 、 易 遭受 雷击 的 地 区 。 为 了 业务 或 安全 管理 需要 ， 需 对 机 房 划分 区 
域 ， 并 设置 有 效 的 物理 隔离 装置 〈 如 隔 墙 等 ) ， 对 各 个 区 域 都 有 专门 的 管理 要 求 ， 同 时 设置 门 
森 系 统 等 

设备 和 介质 等 应 该 有 防止 丢失 的 保护 措施 ， 主 要 设备 放置 位 置 做 到 安全 可 探 ， 设 备 或 主要 
部 件 进行 固定 和 标记 ， 通 信 线 绩 敷 设 在 隐蔽 处 ， 设 置 元 余 或 并 行 的 通信 线路 ， 对 机 房 安 装 的 防 
盗 报警 系统 和 监控 报警 系统 进行 定期 维护 检查 。 网 络 设 备 、 传 输 介 质 、 工 具 等 需 妥 善 保存 ， 并 
在 机 房 设 置 防 资 报警 设 施 、 摄 像 、 传 感 等 监控 报警 系统 ， 运 行 记 录 和 报警 记录 确保 正常 运行 。 
各 类 管理 、 资 料 文 朱 有 序 存 放 。 

机 房 防 雷 措施 。 为 防止 雷击 事件 发 生 ， 机 房 建筑 设置 通过 验收 或 国家 有 关 部 门 的 技术 检测 
的 避雷 装置 ， 机 房 计 算 机 系统 接地 设置 专用 地 线 ， 符 合 GB S0174 一 2017《 数 据 中 心 设 计 规 范 》 
的 要 求 ， 安 装 避 雷 装 置 并 定期 维护 。 机 房 要 设置 灭火 设备 和 自动 检测 火 情 、 自 动 报警 、 自 动 灭 
火 的 自动 消防 系统 ， 有 专人 负责 维护 该 系统 的 运行 。 机 房 应 该 按照 GBMT 2887 一 2011 《计算 机 
场地 通用 规范 》 的 标准 要 求 ， 采 用 必要 的 接地 等 防 静电 措施 和 控制 机 房 湿 度 的 措施 ， 机 房 应 该 
配备 恒温 恒 湿 系统 ， 保 证 温 湿 度 符合 要 求 。 

计算 机 系统 供电 线路 与 其 他 供电 分 开 ， 设 置 稳 压 器 、 过 电压 防护 设备 和 短期 备用 电源 设备 
(如 UPS) 。 机 房 的 电力 供应 安全 设计 /验收 文档 中 标明 单独 为 计算 机 系统 供电 ， 配 备 稳 压 器 、 
过 电压 防护 设备 、 备 用 电源 设备 以 及 元 余 或 并 行 的 电力 电缆 线路 等 要 求 与 机 房 电力 供应 实际 情 
况 是 否 一 致 。 有 防止 外 界 电磁 干扰 和 设备 寄生 耦合 干扰 的 措施 ， 并 且 对 处 理 秘密 级 信息 的 设备 
采取 防止 电磁 洪 漏 的 措施 。 对 设备 外 壳 进 行 良 好 的 接地 ， 电 源 线 和 通信 线 缆 隔离 ， 处 理 秘密 级 
信息 的 设备 为 低 辐 射 设 备 ， 安 装 满足 BMB4 2000《 电 磁 干 扰 器 技术 要 求 和 测试 方法 》 要 求 的 
二 级 电磁 干扰 回 。 


2. 网 络 安全 策略 
为 保护 网 络 的 安全 ， 必 须 对 访问 系统 及 其 数据 的 人 进行 识别 ， 并 检查 其 合法 身份 ， 对 进入 
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网 络 系统 进行 控制 。 访 问 控制 首先 要 把 用 户 和 数据 进行 分 类 ， 然 后 根据 需要 把 二 者 匹配 起 来 ， 
把 数据 的 不 同 访问 权限 授予 用 户 ， 只 有 被 授权 的 用 户 才能 访问 相应 的 数据 。 在 大 型 网 络 中 ， 从 
源 节点 到 目的 节点 可 能 有 多 条 线路 ， 有 些 线路 可 能 是 安全 的 ， 有 些 是 不 安全 的 。 通 过 选择 路 由 
控制 机 制 ， 可 使 信息 发 送 者 选择 特殊 路 由 ， 以 保证 数据 的 安全 。 网 络 安全 中 的 访问 控制 分 为 两 
类 : 入 系统 访问 控制 和 选择 性 访问 控制 。 入 系统 访问 控制 为 系统 提供 了 第 一 层 访问 控制 ， 控 制 
着 可 以 登录 到 服务 器 网 络 操作 系统 并 获取 系统 资源 的 用 户 ， 通 过 用 户 名 识别 和 验证 、 用 户口 令 
识别 和 验证 以 及 用 户 账 号 的 默认 限制 检查 进入 系统 。 选 择 性 访问 控制 是 基于 主体 或 主体 所 在 组 
的 身份 的 ， 这 种 访问 控制 是 可 选择 性 的 ， 如 果 一 个 主体 具有 某 种 访问 权 ， 则 它 可 以 直接 或 间接 
地 把 这 种 控制 权 传递 给 别 的 主体 。 选 择 性 访问 控制 被 内 署 于 许多 操作 系统 当中 ， 是 任何 安全 措 
施 的 重要 组 成 部 分 。 文 件 拥有 者 可 以 授予 一 个 用 户 或 一 组 用 户 访问 权 。 网 络 上 的 选择 性 访问 控 
制 应 对 用 户 的 访问 权限 进行 控制 :， 某 人 可 以 访问 什么 程序 和 服务 ?” 某 人 可 以 访问 什么 文件 ? 谁 
可 以 创建 、 读 或 删除 某 个 特定 的 文件 ? 谁 是 管理 员 或 “超级 用 户 ”? 谁 可 以 创建 、 删 除 和 管理 
用 户 ? 某 人 属于 什么 组 ， 以 及 相关 的 权利 是 什么 ? 当 使 用 某 个 文件 或 目录 时 ， 用 户 有 哪些 权 
利 ? 访问 控制 还 包括 对 网 络 服务 、 数 据 库 和 其 他 应 用 系统 的 控制 。 


3. 系统 安全 策略 


系统 安全 策略 可 以 分 为 两 大 拓 来 考虑 ， 即 强制 安全 策略 和 目 主 安全 策略 。 系 统 的 策略 实施 
机 制 也 划分 为 两 部 分 : 强制 安全 策略 实施 机 制 和 上 自主 安全 策略 实施 机 制 。 强 制 安全 策略 具有 更 
好 的 普 遇 适用 性 ， 由 系统 强制 提供 ， 可 涉及 保密 性 、 完 整 性 、 可 用 性 、 责 任 可 得 性 等 。 目 主 安 
全 策略 将 反映 用 户 目 主 的 安全 需求 。 由 于 用 户 目 主 安全 需求 的 多 样 性 ， 为 尽 可 能 实施 灵活 的 目 
主 安全 策略 ， 系 统 应 为 用 户 提 供 方便 的 目 主 安全 策略 表达 机 制 ， 如 安全 规则 的 说 明 工 具 。 用 户 
说 明 的 与 目 主 安全 策略 对 应 的 规则 集 有 时 非常 复杂 ， 需 要 有 专门 的 策略 检查 机 制 来 确 你 规则 的 
完备 性 、 正 确 性 和 一 致 性 。 这 些 目 主 说 明 的 安全 规则 只 有 通过 检查 处 理 后 ， 才 能 形成 适合 于 目 
主 安全 策略 实施 机 制 使 用 的 系统 内 部 目 主 安全 策略 《或 规则 集 ) 。 规 则 的 内 涵 及 内 部 表示 方式 
的 不 同 ， 又 对 目 主 安全 策略 实施 机 制 提出 了 不 同 的 要 求 ， 目 主 安全 策略 实施 机 制 应 能 够 为 不 同 
类 型 的 规则 提供 执行 能 力 。 系 统 安全 从 低 到 高 分 为 四 级 : D 级 是 最 低 的 安全 级 别 ， 拥 有 这 个 级 
别 的 操作 系统 束 像 一 个 门户 大 开 的 房子 ， 任 何人 都 可 以 目 由 进出 ， 征 完全 不 可 信 的 。C 级 有 两 
个 安全 子 级 别 ， 即 C1 和 C2。C1 级 被 称 为 选择 性 安全 保护 系统 ， 描 述 了 一 种 典型 的 用 在 UNIX 
系统 上 的 安全 级 别 。 这 种 级 别 的 系统 对 硬件 有 茶 种 程度 的 保护， 用 户 拥有 注册 账号 和 口令 ， 系 
统 通过 账号 和 口令 来 识别 用 户 是 否 合法 ， 并 决定 用 户 对 程序 和 信息 拥有 什么 样 的 访问 权 ， 但 便 
件 受到 损害 的 可 能 性 仍然 存在 。 除 了 C1 级 包含 的 特性 外 ，C2 级 别 应 具有 访问 控制 环境 权力 。 
该 环境 具有 进一步 限制 用 户 执行 茶 些 命令 或 访问 某 些 文件 的 权限 ， 而 且 还 加 入 了 号 份 认 证 级 
别 。B 级 中 有 三 个 级 别 ，B1l 级 是 文 持 多 级 安全 《例如 秘密 和 绝密 ) 的 第 一 个 级 别 ， 这 个 级 别 说 
明 处 于 强制 性 访问 控制 之 下 的 对 象 ,系统 不 允许 文件 的 拥有 者 改变 其 许可 权限 ; B2 级 要 求 计 算 
机 系统 中 所 有 的 对 象 都 要 加 上 标签 ， 而 且 给 设备 《磁盘 、 磁 带 和 终端 ) 分 配 单个 或 多 个 安全 级 
别 , 它 是 提供 较 高 安全 级 别 的 对 象 与 较 低 安全 级 别 的 对 象 相 通信 的 第 一 个 级 别 ; B3 级 使 用 安 猴 
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便 件 的 方式 来 加 强 域 的 安全 ， 例 如 ， 内 存 管 理 便 件 用 于 保护 安全 域 免 遭 无 授权 访问 或 其 他 安全 
域 对 象 的 修改 。A 级 是 当前 橙 皮 书 的 最 高 级 别 ， 它 包括 了 一 个 严格 的 设计 、 控 制 和 验证 过 程 ， 
该 级 别 包含 了 较 低 级 别 的 所 有 特性 。 黑 客 对 系统 的 攻击 和 计算 机 病毒 是 系统 安全 的 两 大 威胁 ， 
对 于 网 络 操作 系统 的 安全 管理 , 系统 安装 完 后 , 应 该 给 予 指定 的 系统 管理 员 与 SupervisorAdmin 
等 同 的 管理 权限 ， 获 取 对 操作 系统 有 访问 权 的 用 户 ， 给 予 注 册 、 登 记 ， 授 予 对 系统 访问 的 账户 
和 口令 ， 定 期 做 好 操作 系统 和 应 用 程序 的 备份 ， 对 系统 在 运行 过 程 中 发 生 的 错误 做 出 详细 的 记 
录 和 归档 ， 认 真 细 致 地 分 析 每 天 的 日 志 ， 对 系统 进行 事后 审计 、 监 督 和 跟踪 ， 建 立 操作 系统 所 
有 资料 的 使 用 管理 机 制 ， 及 时 做 好 系统 版 本 的 升级 、 打 补丁 、 防 病毒 和 系统 的 加 固 。 


4. 数据 加 密 策 略 


访问 控制 只 是 控制 可 以 获准 进入 计算 机 信息 系统 的 对 象 , 在 计算 机 的 应 用 中 会 产生 大 量 需 
要 存储 和 传输 的 数据 ， 此 时 ， 有 意 的 计算 机 犯罪 和 无 意 的 数据 破坏 成 为 了 最 大 的 威胁 ， 数 据 保 
密 就 是 保护 网 络 中 各 系统 之 间 的 交换 数据 ， 防 止 因数 据 被 截获 而 造成 泄密 。 数 据 保 密 主要 包括 
连接 保密 《对 茶 个 连接 上 的 所 有 用 户 数据 提供 保密 ) 、 选 择 字 段 保 密 〈 对 协议 数据 单元 的 一 部 
分 选择 字段 进行 保密 ) 、 信 息 流 保密 〈 对 可 能 从 观察 信息 流 就 能 推导 出 的 信息 提供 保密 ) 。 数 
据 完 整 性 保证 接收 方 收 到 的 信息 与 发 送 方 发 送 的 信息 完全 一 致 ， 它 包括 可 恢复 的 完整 性 、 无 恢 
复 的 完整 性 、 选 择 字段 的 完整 性 ， 主 要 通过 数字 签名 技术 来 实现 。 对 称 密码 和 公 钥 密码 是 当前 
计算 机 信息 系统 中 的 两 类 基本 加 密 算 法 。 信 息 加 密 策 略 的 制定 应 该 根据 网 络 系统 的 实际 情况 和 
需求 来 定 ， 没 有 一 个 固定 的 模式 ， 一 般 包括 信息 的 分 类 和 存储 、 信 息 的 传输 、 备 份 介质 存储 。 
对 于 敏感 信息 ， 策 略 应 该 描述 加 密 压缩 的 软件 、 转 交 的 服务 器 名 称 、 存 储 目录 体系 和 归档 时 间 。 
PKI 是 一 种 具有 普 过 适用 性 的 网 络 安全 基础 设备 ， 是 一 套 硬 件 、 软 件 系统 和 安全 策略 的 集合 ， 
它 提供 了 一 种 安全 机 制 ， 使 用 户 在 不 知道 对 方 身份 和 分 布地 的 情况 下 ， 以 数字 证 书 为 基础 ， 通 
过 一 系列 的 信任 关系 来 实现 信息 的 真实 性 、 完 整 性 、 保 密 性 和 不 可 和 否认 性 。PKI 定义 了 密码 系 
统 使 用 的 处 理 方法 和 原则 ， 建 立 了 一 个 组 织 信息 安全 方面 的 指导 方针 ， 包 含 在 实践 中 增强 和 支 
持 安 全 人 沉 略 的 一 些 操 作 过 程 的 详细 文档 、 处 理 密 铀 和 有 价值 信息 的 方法 和 根据 风险 级 别 定 义 安 
全 控制 级 别 。 


S. 信息 安全 组 织 管 理 策略 


信息 安全 组 织 管 理 的 目标 和 任务 是 利用 管理 学 的 原理 构建 信息 安全 团队 ， 对 信息 安全 事件 
做 出 及 时 、 快 速 、 准 确 的 啊 应 ， 确 定 并 及 时 排除 突 发 事件 ， 使 其 服务 对 象 的 风险 和 损失 降 到 最 
低 。 无 论 是 何 种 信息 安全 团队 ， 其 组 织 架 构 基 本 上 是 一 样 的 ， 主 要 由 决策 层 、 管 理 层 、 执 行 层 
和 信息 管理 系统 四 个 部 分 组 成 。 决 策 层 负责 制定 信息 安全 团队 的 工作 方针 、 政 策 以 及 相关 的 规 
章 制 度 ， 对 团队 的 建立 负 有 决定 性 的 作用 ， 必 须 对 安全 事件 的 响应 做 出 正确 的 判断 。 管 理 层 主 
要 负责 团队 的 日 疝 工 作 、 内 外 部 信息 资产 、 财 物 和 工作 人 员 的 管理 。 执 行 层 负责 对 系统 运行 进 
行 日 营 的 维护 和 管理 ， 对 安全 事故 进行 啊 应 支持 ， 对 相关 人 员 进 行 安全 技术 培训 。 信 息 管理 系 
统 负责 决策 层 和 管理 层 、 管 理 层 与 执行 层 、 执 行 层 与 用 户 层 、 决 策 层 与 执行 层 之 间 信 息 的 处 理 
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和 传递 。 关 于 人 员 录 用 ， 应 指定 或 授权 专门 的 部 门 或 人 员 负 责 人 员 录 用 ， 严 格 规范 人 员 录 用 过 
程 ， 对 被 录用 人 员 的 身份 、 背 景 、 专 业 资 格 和 资质 等 进行 审查 ， 对 其 所 具有 的 技术 技能 进行 考 
核 ， 签 署 保密 协议 ， 从 内 部 人 员 中 选拔 从 事 关 键 册 位 的 人 员 ， 并 签署 岗位 安全 协议 。 关 于 人 员 
离 岗 ， 应 制定 有 关 管 理 规 范 ， 严 格 规范 人 员 离 册 过 程 ， 及 时 终止 离 岗 员工 的 所 有 访问 权限 ， 收 
回 各 种 身份 证 件 、 钥 是 、 徽 章 等 以 及 机 构 提供 的 软 便 件 设备 ， 办 理 严 格 的 调 离 手续 ， 并 承诺 调 
离 后 的 保密 义务 后 方 可 离开 。 关 于 人 员 考 核 ， 应 定期 对 各 个 岗位 的 人 员 进 行 安全 技能 及 安全 认 
知 的 考核 ， 应 对 关键 岗位 的 人 员 进行 全 面 、 严 格 的 安全 审查 和 技能 考核 ， 应 建立 保密 制度 ， 并 
定期 或 不 定期 地 对 保密 制度 执行 情况 进行 检查 或 考核 ， 应 对 考核 结果 进行 记录 并 保存 。 


5.1.2 ”信息 安全 管理 制度 


信息 安全 管理 制度 是 通过 维护 信息 的 机 密 、 完 整 性 和 可 用 性 ， 来 识别 、 评 估 、 管 理 和 保护 
组 织 所 有 的 信息 资产 ， 制 定 和 实施 安全 人 策略、 安全 标准 、 安 全 方针 和 安全 措施 的 一 种 体制 。 计 
算 机 及 其 网 络 系统 的 安全 管理 是 计算 机 安全 的 重要 组 成 部 分 ， 安 全 管理 贯穿 于 计算 机 网 络 系统 
设计 、 运 行 和 维护 的 各 个 阶段 ， 既 包括 行政 手段 ， 又 包括 技术 措施 。 在 系统 的 设计 阶段 ， 应 该 
制定 出 网 络 系统 的 安全 货 略 ; 在 工程 设计 阶段 , 应 该 技 照 安全 策略 的 要 求 制定 系统 的 安全 机 制 ; 
在 系统 的 运行 中 ， 应 该 强制 执行 安全 机 制 所 要 求 的 各 项 安全 措施 和 安全 管理 原则 ， 并 且 经 过 风 
险 分 析 和 安全 审计 来 检查 和 评 佑 ， 不 断 补 序 、 改 进 和 完善 安全 措施 。 

安全 管理 制度 主要 包括 : 管理 制度 、 制 定 和 发 布 、 评 审 和 修订 。 不 同等 级 的 基本 要 求 在 安 
全 管理 制度 的 三 个 方面 都 有 所 体现 。 一 级 安全 管理 制度 要 求 : 主要 明确 了 制定 日 党 的 管理 制度 ， 
并 对 管理 制度 的 制定 和 发 布 提 出 基本 和 要求。 二 级 安全 管理 制度 要 求 : 在 控制 点 上 增加 了 评审 和 
修订 ， 管 理 制 度 增加 了 总 体 方针 和 安全 策略 ， 和 对 各 类 重要 操作 建立 规程 的 要 求 ， 并 且 管 理 制 
度 的 制定 和 发 布 要 求 组 织 论证 。 三 级 安全 管理 制度 要 求 : 在 二 级 要 求 的 基础 上 ， 要 求 机 构 形成 
信息 安全 管理 制度 体系 ， 对 管理 制度 的 制定 要 求 和 发 布 过 程 进一步 严格 和 规范 ， 对 安全 制度 的 
评审 和 修订 要 求 领导 小 组 的 负责 。 四 级 安全 管理 制度 要 求 : 在 三 级 要 求 的 基础 上 ， 主 要 考 碟 了 
对 市 有 密级 的 管理 制度 的 管理 和 管理 制度 的 日 疝 维 护 等 。 表 5-1 表明 了 不 同等 级 的 安全 党 理 制 
度 在 控制 点 上 逐 级 变化 的 特点 。 


表 S$-1 不 同等 级 的 安全 管理 制度 控制 点 的 逐 级 变化 


控制 点 | -级 | 二 级 三 级 四 级 
管理 制度 9 |: 
制定 和 发 布 v 
评审 和 修订 国史 汪 呈 量 四 和 基本 网 风 而 民 其 国 二 而 生 本 
合计 3 
下 面 对 安 全 管理 制度 的 三 个 方面 分 别 进行 介绍 。 
) 管理 制度 


信息 安全 管理 制度 文件 通过 为 机 构 的 每 个 人 提供 基本 的 规则 、 指 南 、 定 义 ， 从 而 在 机 构 中 
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建立 一 套 信 息 安 全 管理 制度 体系 ， 防 止 员 工 的 不 安全 行为 引入 风险 。 信 息 安 全 管理 制度 体系 分 
为 三 层 结构 : 总 体 方 针 、 具 体 管 理 制 度 、 各 类 操作 规程 。 信 息 安 全 方针 应 当前 明 管 理 层 的 承诺 ， 
提出 机 构 管理 信息 安全 的 方法 ， 有 具体 的 信息 安全 管理 制度 是 在 信息 安全 方针 的 框架 内 ， 为 保证 
安全 管理 活动 中 的 各 类 管理 内 容 的 有 效 执行 而 制定 的 具体 的 信息 安全 实施 规则 ， 以 规范 安全 管 
理 活 动 ， 约 束 人 员 的 行为 方式 ， 操 作 规程 是 为 进行 某 项 活动 所 规定 的 途径 或 方法 ， 是 有 效 实施 
信息 安全 政策 、 安 全 目标 与 要 求 的 具体 措施 。 这 三 层 体 系 化 结构 完整 地 才 盖 了 机 构 进 行 信息 安 
全 管理 所 需 的 各 类 文件 化 指导 。 

2) 制定 和 发 布 

制定 安全 管理 制度 是 规范 各 种 保护 单位 信息 资源 的 安全 活动 的 重要 一 步 ， 制 定 人 员 应 充分 
了 解 机 构 的 业务 特征 〈 包 括 业务 内 容 、 性 质 、 目 标 及 其 价值 ) ， 只 有 这 样 才能 发 现 并 分 析 机 构 
业务 所 处 的 实际 运行 环境 , 并 在 此 基础 上 提出 合理 的 、 与 机 构 业 务 目标 相 一 致 的 安全 保障 措施 ， 
定义 出 与 管理 相 结合 的 控制 方法 ， 从 而 制定 有 效 的 信息 安全 政策 和 制度 。 机 构 高 级 管理 人 员 参 
与 制定 过 程 ， 有 利于 : 

(1) 制定 的 信息 安全 政策 与 单位 的 业务 目标 一 致 ; 

(2) 制定 的 安全 方针 政策 、 制 度 可 以 在 机 构 上 下 得 到 有 效 的 贯彻 ; 

(3) 可 以 得 到 有 效 的 资源 保障 ， 比 如 在 制定 安全 政策 时 必要 的 资金 与 人 力 资源 的 文 持 ， 及 
跨 部 门 之 间 的 协调 问题 等 ， 都 必须 由 高 层 管 理 人 员 来 推动 。 

在 制定 安全 管理 制度 中 ， 各 种 文档 的 制定 非常 重要 ， 这 些 文档 主要 包括 : 

(1) 网 络 建设 方案 文档 : 网 络 技术 体制 、 网 络 拓扑 结构 、 设 备 配置 、IP 地 址 和 域名 分 配方 


案 等 相关 技术 文档 ; 
《2) 机 房 理 制度 文档 : 包括 对 网 络 机 房 实 行 分 域 控制 ， 保 护 重 点 网 络 设备 和 服务 亏 的 物 
理 安全 ; 


43) 各 类 人 员 职 责 分 工 : 根据 职责 分 离 和 多 人 负责 的 原则 ， 划 分 部 门 和 人 员 职 责 ， 包 括 对 
领导 、 网 络 管理 员 、 安 全 保密 员 和 网 络 用户 职 责 进行 分 工 ; 

44) 安全 保密 规定 文档 : 制定 颁布 本 部 门 计算 机 网 络 安全 保密 管理 规定 ; 

(5) 网 络 安全 方案 : 网 络 安全 项 目 规 划 、 分 步 实 施 方案 、 安 全 监控 中 心 建设 方案 、 安 全 等 
级 划分 等 整体 安全 策略 ; 

(6) 安全 策略 文档 : 建立 防火 场 、 入 侵 检 测 、 安 全 扫描 和 防 病毒 系统 等 安全 设备 的 安全 配 
置 和 升级 宋 略 以 及 宋 略 修改 登记 ; 

《7) 口令 管理 制度 : 严格 网 络 设 备 、 安 全 设备 、 应 用 系统 以 及 个 人 计算 机 的 口令 管理 制度 ; 

《8) 系统 操作 规程 : 对 不 同 应 用 系统 明确 操作 规程 ， 规 范 网 络 行为 ; 

9) 应 急 啊 应 方案 :建立 网 络 数据 备份 策略 和 安全 应 筷 方 案 ， 确 你 网 络 的 应 急 啊 应 ; 

《10) 用 户 授权 管理 : 以 最 小 权限 原则 对 网 络 用 户 划分 数据 库 等 应 用 系统 操作 权限 ， 并 做 
记录 ; 

(11) 安全 防护 记录 : 记录 重大 网 络 安全 事件 ， 对 网 络 设 备 和 安全 系统 进行 日 疙 分 析 ， 并 
提出 修复 意见 ， 定 期 对 系统 运行 、 用 户 操 作 等 进行 安全 评估 ， 提 交 网 络 安全 报告 。 
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3) 评审 和 修订 

安全 政策 和 制度 文件 制定 实施 后 ， 机 构 要 定期 评审 安全 政策 和 制度 ， 并 进行 持续 改进 ， 尤 
其 当 发 生 重 大 安全 事故 、 出 现 新 的 漏洞 以 及 技术 基础 结构 发 生变 更 时 。 因 为 机 构 所 处 的 内 外 环 
境 是 不 断 变 化 的 ,信息 资产 所 面临 的 风险 也 是 一 个 变数 ,机构 中 人 的 思想 、 观 念 也 在 不 断 变化 。 
在 这 个 不 断 变 化 的 世界 中 ， 要 想 保证 本 系统 的 安全 性 ， 就 要 对 控制 措施 和 信息 安全 政策 与 制度 
持续 改进 ， 使 之 在 理论 上 、 标 准 上 及 方法 上 与 时 俱 进 。 

其 他 制度 文档 还 有 信息 发 布 审批 、 设 备 安装 维护 管理 规定 、 人 员 培 训 和 应 用 系统 等 ， 以 及 
全 面 建 立 计算 机 网 络 各 类 文档 ， 堵 住 安全 管理 漏 凋 。 

在 安全 管理 中 ， 最 活跃 的 因素 是 人 ， 对 人 的 管理 包括 法 律 、 法 规 与 政策 的 约束 、 安 全 指南 
的 帮助 、 安 全 意识 的 提高 、 安 全 技能 的 培训 、 人 力 资 源 管理 措施 以 及 企业 文化 的 杆 陶 ， 这 些 功 
能 的 实现 都 是 以 完备 的 安全 管理 政策 和 制度 为 前 提 的 。 信 息 安 全 有 三 条 基本 的 管理 原则 : 从 不 
单独 工作 、 限 制 使 用 期 限 和 责任 分 散 。 从 不 单独 工作 原则 指 的 是 在 人 员 条 件 许 可 的 情况 下 ， 由 
最 高 领导 人 指派 两 个 或 者 多 个 可 靠 而 且 能 够 胜任 工作 的 专业 人 员 ， 共 同 参与 每 项 与 安全 相关 的 
活动 ， 并 且 通 过 签字 、 记 录 和 注册 等 方式 证 明 。 限 制 使 用 期 限 原则 指 的 是 任何 人 都 不 能 在 一 个 
与 安全 有 关 的 岗位 上 工作 太 长 时 间 ， 工 作 人 员 应 该 经 常 轮换 工作 ， 这 种 轮换 依赖 于 全 体 人 员 的 
诚实 度 。 责 任 分 散 原 则 指 的 是 在 工作 人 员 素 质 和 数量 允许 的 情况 下 ， 不 集中 于 一 人 实施 全 部 与 
安全 有 关 的 功能 ， 由 不 同 的 人 和 小 组 来 执行 。 安 全 管理 制度 包括 信息 安全 工作 的 总 体 方 针 、 策 
略 、 规 范 ， 各 种 安全 管理 活动 的 管理 制度 以 及 管理 人 员 或 操作 人 员 日 常 操 作 的 操作 规程 。 安 全 
风险 管理 、 安 全 策略 和 安全 教育 构成 了 整个 信息 安全 管理 体系 。 


5.2 ”网 络 安全 威胁 与 网 络 安全 体系 


网 络 安全 威胁 是 利用 网 络 中 所 存在 的 缺陷 ， 从 而 导致 系统 出 现 非 授权 访问 、 信 息 泄 露 、 资 
源 消 耗 或 者 被 破坏 等 情况 。 伴 随 着 网 络 的 快速 普及 和 发 展 ， 网 上 的 数据 量 呈 指数 级 快速 增加 ， 
这 种 潜在 的 威胁 一 旦 形成 实质 的 破坏 ， 其 破坏 力 将 是 巨大 的 ， 所 造成 的 后 果 也 将 十 分 严重 。 
5.2.1 网 络 安全 威胁 

“安全 ”是 一 个 相对 的 概念 。 在 网 络 中 ， 绝 对 的 安全 软件 、 设 备 或 者 体系 结构 是 不 存在 的 。 
同时 ， 安 全 与 效率 是 一 对 相互 制约 的 关系 实体 。 因 此 在 网 络 安全 中 ， 在 一 定 的 环境 中 ， 应 该 选 
择 使 用 一 种 “适合 ”的 安全 策略 和 安全 制度 ， 以 增加 系统 安全 程度 的 同时 ， 保 证 高 效率 的 生产 
或 工作 。 

1. 网 络 安全 威胁 的 类 型 


随 腹 网 络 技术 的 不 断 发 展 ， 网 络 安全 所 面临 的 威胁 来 目 多 个 方面 ， 并 且 处 在 不 断 发 展 变化 
中 。 网 络 安全 威胁 有 以 下 几 关 。 
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1) 网 络 攻击 类 

网 络 攻击 是 指 通过 技术 手段 获取 非 授权 资源 或 者 达到 预定 攻击 目标 的 行为 。 在 法 律 上 对 网 
络 攻击 的 定义 是 : 网 络 攻 击 “ 仅 仅 发 生 在 入 侵 行为 完全 完成 而 且 入 侵 者 已 经 在 目标 网 络 内 ”。 
业内 的 观点 是 : 凡是 能 够 使 得 一 个 网 络 受 到 破坏 的 行为 都 被 认为 是 攻击 。 

网 络 攻击 分 为 以 下 几 类 。 

(1) 被 动 攻 击 。 被 动 攻击 是 指 攻击 者 通过 对 网 络 中 现 有 的 正常 数据 流 进 行 监视 、 分 析 等 操 
作 ， 以 获得 有 用 信息 的 一 种 攻击 方式 。 被 动 攻击 方式 由 于 其 对 现 有 系统 在 短期 内 不 会 造成 任何 
故障 或 者 现象 ， 因 此 是 最 为 隐蔽 的 一 种 攻击 方式 ， 针 对 被 动 攻击 的 重点 是 预防 ， 例 如 采用 数据 
加 密 等 。 被 动 攻击 主要 包括 : 

e。 家 听 。 在 早期 的 广播 式 网 络 中 ， 网 络 系统 内 的 任意 节点 均 能 够 接收 到 网 络 中 传输 的 所 

有 数据 。 在 现 有 网 络 中 ， 也 可 以 采用 搭 线 盘 听 或 者 安装 专门 的 窃听 软件 来 对 通信 和 内容 
进行 截获 。 同 时 ， 由 于 网 络 管理 的 原因 ， 网 络 体系 结构 允许 网 络 监 视 器 接收 所 有 数据 
帧 ， 这 种 特性 会 使 得 网 络 数据 被 窃听 或 发 生 非 授权 访问 的 现象 变 得 更 加 隐蔽 。 无 线 网 
络 的 广泛 使 用 ， 也 是 网 络 数据 泄露 风险 加 剧 的 一 个 因素 。 

e。 流量 分 析 。 通 过 对 网 络 中 的 流量 进行 监视 和 分 析 ， 以 得 到 有 价值 的 信息 。 

(2) 主动 攻击 。 主 动 攻 击 是 指 攻击 者 试图 通过 技术 手段 突破 预 设 的 网 络 安 全 防护 ， 以 获 
取 有 价值 的 信息 的 攻击 方式 。 这 种 攻击 会 对 现 有 网 络 数据 进行 算 改 、 截 获 或 对 现 有 网 络 系统 
造成 运行 故障 等 。 对 于 这 种 攻击 方式 ， 除 了 进行 预防 之 外 ， 重 点 是 对 其 进行 检测 。 主 动 攻击 
主要 包括 : 

e。 假冒 。 假 冒 是 指 网络 上 的 一 个 实体 或 终端 ， 通 过 技术 手段 假扮 成 另 一 个 实体 或 终端 ， 

以 达到 非 授权 访问 或 获取 非法 资源 的 目的 。 

e。 重 放 。 将 网 络 中 的 报 文 进行 完全 复制 或 者 部 分 复制 ， 从 而 达到 被 授权 的 目的 。 

e。 数据 完整 性 破坏 。 通 过 技术 手段 有 意 或 者 无 意 地 对 信息 系统 进行 破坏 ， 或 者 通过 非法 

手段 对 数据 进行 自 改 的 一 种 攻击 方式 。 

e。 拒绝 服务 。 通 过 合法 的 手段 ， 对 特定 目标 进行 访问 或 者 使 其 资源 “合法 ” 耗 尽 ， 从 而 

使 其 无 法 获得 应 有 的 访问 的 一 种 攻击 方式 。 
e。 数据 泄露 。 有 意 或 者 无 意 地 对 信息 系统 进行 攻击 或 者 破坏 ， 造 成 数据 信息 的 泄露 或 者 
被 非法 访问 。 

43) 内 部 人 员 攻 击 。 内 部 人 员 攻 击 是 指 由 单位 内 部 的 职工 或 者 工作 人 员 实 施 的 ， 有 意 或 者 
无 意 的 “攻击 ”。 此 种 攻击 一 般 是 由 内 部 被 授权 人 员 对 信息 系统 或 者 网 络 系统 进行 操作 过 程 中 
产生 的 ， 尤 其 是 无 意识 的 操作 对 信息 系统 或 者 网 络 系统 造成 的 破坏 。 此 种 类 型 应 加 强 对 工作 人 
员 的 教育 、 培 训 和 管理 ， 严 格 落实 网 络 安全 管理 制度 和 操作 规范 。 例 如 ， 在 核心 部 门 员工 辞职 
后 ， 及 时 更 换 系统 口令 、 门 禁 等 ， 以 防止 此 类 事件 的 发 生 。 

2) 网 络 安全 漏洞 类 

当前 ， 网 络 系统 中 的 网 络 设备 、 网 络 终端 、 操 作 系统 、 数 据 库 、 信 息 系 统 等 都 存在 各 种 各 
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样 的 安全 漏洞 。 因 此 ， 对 现 有 系统 中 存在 的 漏 镁 的 营 握 和 了 解 ， 是 预防 网 络 攻击 的 最 主要 的 发 
展 方向 ， 也 是 反攻 击 工 具 的 主要 设计 思路 。 

在 网 络 攻击 中 ， 病 毒 类 攻击 一 般 是 利用 了 上 述 系统 中 的 各 种 漏洞 所 发 起 的 攻击 。 计 算 机 病 
毒 或 者 网 络 病毒 已 改变 了 之 前 对 单机 进行 攻击 的 策略 ， 目 前 的 病毒 多 采用 通过 网 络 传播 并 感染 
网 络 终端 的 方式 ， 以 造成 大 量 网 络 终端 的 感染 或 者 数据 泄露 。 目 前 ， 随 着 智能 手机 的 广泛 使 用 ， 
手机 病毒 已 成 为 网 络 病毒 的 一 大 威胁 。 


5.2.2 ”网 络 安全 体系 


网 络 安全 体系 是 一 个 非常 复杂 的 结构 , 涉及 各 个 层次 和 环节 的 内 容 , 需要 将 安全 技术 体系 、 
安全 管理 体系 、 认 证 体系 等 手段 进行 有 机 融合 ， 构 建 一 体 化 的 安全 屏障 。ISO 在 OSI 网 络 七 层 
体系 结构 上 确立 了 网 络 安全 体系 结构 ,在 OSI 七 层 的 每 一 层 都 确立 了 对 应 的 安全 机 制 和 安全 服 
务 。 其 安全 体系 结构 图 如 图 5$-1 所 示 ， 其 中 立轴 表示 网 络 七 层 模型 ，X 轴 表 示 对 应 的 八 种 安全 
机 制 ，Z 轴 表 示 对 应 的 五 种 安全 服务 。 

网 络 通信 


应 用 层 
会 话 层 
传输 层 
链 路 层 
物理 层 安全 机 制 


认证 (鉴别 ) 服 务 
访问 控制 服务 盟 学 加 据 证 次 和 
数据 完整 性 服务 直人 
抗 耕 认 性 服务 制 制 


安全 服务 
图 $S-1 OSI 安全 体系 结构 图 


八 种 安全 机 制 对 应 五 种 安全 服务 ， 下 面 分 别 进 行 讲解 : 

(1) 加 密 机 制 :加密 机 制 对 应 数据 保密 性 服务 。 加 密 是 提高 数据 安全 性 的 最 简便 方法 。 通 
过 对 数据 进行 加 密 ， 有 效 提 高 了 数据 的 保密 性 ， 能 防止 数据 在 传输 过 程 中 被 窃取 。 第 用 的 加 密 
算法 有 对 称 加 密 算法 〈 如 DES 算法 ) 和 非 对 称 加 密 算法 〈 如 RSA 算法 ) 。 

(2) 数字 签名 机 制 :数字 签名 机 制 对 应 认证 《鉴别 ) 服务 。 数 字 签 名 是 有 效 的 鉴别 方法 ， 
利用 数字 签名 技术 可 以 实施 用 户 身 份 认证 和 消息 认证 ， 它 具有 解决 收发 双方 纠纷 的 能 力 ， 是 认 
证 《鉴别 ) 服务 最 核心 的 技术 。 在 数字 签名 技术 的 基础 上 ， 为 了 监 别 软件 的 有 效 性 ， 又 产生 了 
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代码 签名 技术 。 稼 用 的 签名 算法 有 RSA 算法 和 DSA 算法 等 。 

(3) 访问 控制 机 制 : 访问 控制 机 制 对 应 访问 控制 服务 。 通 过 预先 设 定 的 规则 对 用 户 押 访问 
的 数据 进行 限制 。 通 常情 况 下 ， 首 先是 通过 用 户 的 用 户 名 和 口令 进行 验证 ， 其 次 是 通过 用 户 角 
色 、 用 户 组 等 规则 进行 验证 ， 最 后 用 户 才 能 访问 相应 的 限制 资源 。 一 般 的 应 用 第 使 用 基于 用 户 
角色 的 访问 控制 方式 。 

(4) 数据 完整 性 机 制 : 数据 完整 性 机 制 对 应 数据 完整 性 服务 。 数 据 完 整 性 的 作用 是 为 了 旭 
免 数 据 在 传输 过 程 中 受到 干扰 ， 同 时 防止 数据 在 传输 过 程 中 被 自 改 ， 以 提高 数据 传输 完整 性 。 
通常 可 以 使 用 单 辐 加密 算法 对 数据 加 密 ， 生 成 唯一 验证 码 ， 用 以 校 验 数 据 完整 性 。 第 用 的 加 窗 
算法 有 MD5 和 SHA。 

65) 认证 机 制 : 认证 机 制 对 应 认证 《鉴别 ) 服务 。 认 证 的 目的 在 于 验证 接收 方 所 接收 到 的 
数据 是 否 来 源 于 所 期 望 的 发 送 方 , 通常 可 以 使 用 数字 签名 来 进行 验证 。 第 用 算法 有 RSA 算法 和 
DSA 算法 等 。 

(6) 业务 流 填 充 机 制 : 也 称 为 传输 填充 机 制 。 业 务 流 填充 机 制 对 应 数据 保密 性 服务 。 业 务 
流 填 充 机 制 通过 在 数据 传输 过 程 中 传输 随机 数 的 方式 , 混 清真 实 的 数据 , 加 大 数据 破解 的 难度 ， 
提高 数据 的 保密 性 。 

(7) 路 由 控制 机 制 : 路 由 控制 机 制 对 应 访问 控制 服务 。 路 由 控制 机 制 为 数据 发 送 方 选择 安 
全 网 络 通信 路 径 ， 避 免 发 送 方 使 用 不 安全 路 径 发 送 数据 ， 提 高 数据 的 安全 性 。 

(8) 公证 机 制 : 公证 机 制 对 应 抗 否 认 性 服务 。 公 证 机 制 的 作用 在 于 解决 收发 双方 的 纠纷 问 
题 ， 确 保 两 方 利益 不 受 损 害 。 As 
三 份 交 由 第 三 方 公证 机 构 进 行 公 


5.3 ”有 羡 意 软件 、 黑 客 攻 击 及 防治 


亚 意 软件 和 网 络 黑 客 的 恶意 攻击 , 是 网 络 中 存在 的 主要 安全 威胁 之 一 。 本 克 讨 论 恶意 软 件 、 
恶意 病毒 和 黑客 攻击 方面 的 主要 问题 。 


5.3.1 恶意 软件 和 病毒 


1. 恶意 软件 的 定义 


根据 中 国 互联 网 协会 2006 年 公布 的 最 终 版 本 的 “恶意 软件 ”定义 ， 恶 意 软件 是 指 在 未 明 
确 提示 用 户 或 未 经 用 户 许可 的 情况 下 ， 在 用 户 计算 机 或 其 他 终端 上 安装 运行 ， 侵 害 用 户 合法 权 
葡 的 软件 ， 但 不 包含 我 国法 律 法 规 规定 的 计算 机 病毒 。 

共有 下 列 特 征 之 一 的 软件 可 以 被 认为 是 恶意 软件 : 

(1) 强制 安装 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 ， 在 用 户 计算 机 或 其 他 终 疹 上 安装 软件 
的 行为 。 

《2) 难以 色 载 : 指 未 提供 通用 的 锚 载 方式 ， 或 在 不 受 其 他 软件 影响 、 人 为 破坏 的 情况 下 ， 
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外 载 后 仍然 有 活动 程序 的 行为 。 
(3) 浏览 器 劫持 : 指 未 经 用 户 许可 ， 修 改 用 户 浏览 器 或 其 他 相关 设置 ， 迫 使 用 户 访问 特定 
网 站 或 导致 用 户 无 法 正常 上 网 的 行为 。 
(4) 广告 弹出 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 ， 利 用 安装 在 用 户 计算 机 或 其 他 终端 上 
的 软件 弹出 广告 的 行为 。 
(5) 恶意 收集 用 户 信息 : 指 未 明确 提示 用 户 或 未 经 用 户 许可 ， 恶 意 收集 用 户 信息 的 行为 。 
(6) 恶意 务 载 : 指 未 明确 提示 用 户 、 未 经 用 户 许可 ， 或 误导 、 欺 骗 用 户 印 载 其 他 软件 的 行为 。 
(7) 恶意 捆绑 : 指 在 软件 中 捆绑 已 被 认定 为 恶意 软件 的 行为 。 
(8) 其 他 侵害 用 户 软件 安装 、 使 用 和 外 载 知情 权 、 选 择 权 的 恶意 行为 。 


2. 计算 机 病毒 的 定义 


计算 机 病毒 Computer Virus ) 最 早 是 由 美国 计算 机 病毒 研究 专家 ECohen 博士 提出 。1994 
年 2 月 18 日 ,我 国正 式 颁布 实施 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 《以 下 
简称 《条 例 》) ， 在 《条 例 》 第 二 十 八条 中 明确 对 计算 机 病毒 进行 了 定义 ， 定 义 指 出 : “计算 
机 病毒 ,是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 , 影响 计算 机 使 用 ， 
并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。” 计 算 机 病毒 的 特征 可 以 归纳 为 传染 性 、 程 序 
性 、 破 坏 性 、 隐 蔽 性 、 潜 伏 性 、 可 触发 性 和 不 可 预见 性 。 


3. 计算 机 病毒 的 分 类 


1) 网 络 晴 虫 病毒 

网 络 晴 虫 是 一 段 可 以 通过 网 络 进行 自 我 传播 的 破坏 性 程序 或 代码 ， 其 不 需要 用 户 的 干预 来 
触发 执行 。 其 通常 利用 系统 漏洞 进行 传播 ， 因 而 其 可 以 直接 获得 对 方 系统 的 控制 权 而 上 自动 执行 
晴 虫 代码 或 程序 。 

2) 特洛伊 木马 病毒 

特洛伊 木马 是 一 个 程序 ， 它 看 起 来 具有 某 个 有 用 的 或 善意 的 目的 ， 但 是 实际 上 有 一 些 隐 藏 
的 恶意 功能 。 其 欺骗 用 户 或 者 系统 管理 员 安 装 ， 或 者 在 计算 机 上 与 “ 正 篆 ”的 程序 一 起 混合 运 
行 ， 将 自己 伪装 得 看 起 来 属于 该 系统 。 

特洛伊 木马 通常 由 被 控制 端 和 控制 端 组 成 。 其 对 用 户 的 个 人 隐私 和 机 密 数 据 造成 极 大 
威胁 。 

3) 宏 病毒 

宏 病毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文 要 ， 其 中 的 宏 就 
会 被 执行 ， 于 是 宏 病毒 就 会 被 激活 ， 转 移 到 计算 机 上 ， 并 驻 留 在 Normal 模板 上 。 从 此 以 后 ， 
所 有 自动 保存 的 文档 都 会 “感染 ”上 这 种 宏 病毒 ， 而 且 如 条 其 他 用 户 打开 了 感染 病毒 的 文档 ， 
宏 病毒 又 会 转移 到 他 的 计算 机 上 。 

4) ARP 病毒 

ARP 病毒 并 不 是 某 一 种 病毒 的 名 称 ， 而 是 对 利用 ARP 协议 的 漏洞 进行 传播 的 一 类 病毒 的 
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总 称 。ARP 协议 是 TCP/P 协议 组 中 的 一 个 协议 ， 能 够 把 网 络 地 址 翻译 成 物理 地 址 〈 又 称 MAC 
地 址 ) 。 通 常 此 类 攻击 的 手段 有 两 种 : 路 由 其 允 和 网 关 其 驻 。 这 是 一 种 入 侵 计 算 机 的 木马 病毒 ， 
对 计算 机 用 户 私 密 信息 的 威胁 很 大 。 

5$) 震 网 病毒 

震 网 病毒 又 名 Stuxnet 病毒 。 该 病毒 于 2010 年 6 月 首次 被 检测 出 来 ， 是 第 一 个 专门 定向 攻 
击 真 实 世 界 中 基础 〈 能 源 ) 设施 《比如 核电 站 、 水 坝 、 国 家 电网 ) 的 “蠕虫 ”病毒 。 震 网 病毒 
己 经 感染 了 全 球 超过 45 000 个 网 络 ， 其 中 伊朗 遭 到 最 为 严重 的 攻击 ，60% 的 个 人 计算 机 感染 了 
这 种 病毒 ， 其 次 为 印尼 〈 约 20%) 和 印度 ( 约 10%) 。 

震 网 病毒 利用 了 微软 视窗 操作 系统 之 前 未 被 发 现 的 4 个 漏洞 。 它 与 通常 意义 上 的 病毒 或 者 
黑客 不 同 ， 通 常 意义 上 的 犯罪 性 黑客 会 利用 这 些 漏洞 来 获取 非法 收入 。 而 震 网 病毒 与 常见 的 恶 
意 软 件 不 同 , 它 并 非 普 通 程序 员 单 打 独 斗 能 够 研制 出 来 的 ,需要 花费 巨额 的 成 本 来 研制 该 病毒 。 

该 病毒 是 有 史 以 来 最 高 端的 “蠕虫 ”病毒 。“ 蠕 虫 ” 是 一 种 典型 的 计算 机 病毒 ， 它 能 自我 
复制 ， 并 将 副本 通过 网 络 传输 ， 任 何 一 人 台 个 人 计算 机 只 要 和 染 毒 计 算 机 相连 ， 就 会 被 感染 。 

这 种 新 病毒 采取 了 多 种 先进 技术 ， 因 此 具有 极 强 的 隐身 和 破坏 力 。 只 要 电脑 操作 员 将 被 病 
毒 感染 的 U 盘 插入 USB 接口 ， 这 种 病毒 就 会 在 神 不 知 鬼 不 觉 的 情况 下 取得 一 些 工 业 用 计算 机 
系统 的 控制 权 。 

6) 勒索 病毒 

勒索 病毒 是 2017 年 出 现 的 一 种 恶意 的 计算 机 程序 ， 它 会 阻止 受害 者 进入 他 们 的 计算 机 或 
者 通过 高 强度 加 密 算 法 加 密 受 害 者 的 文档 ， 可 对 上 百 种 格式 文档 进行 高 强度 加 密 ， 使 得 受害 者 
不 能 使 用 他 们 的 文档 ， 并 要 求 他 们 文 付 赎金 才能 对 文档 进行 解密 ， 正 第 使 用 。 

有 几 种 不 同 的 勒索 软件 程序 ， 它 们 都 使 用 了 不 同 的 方法 来 让 计算 机 用 户 文 付 赎金 。 目 前 已 
知 的 有 以 下 几 种 不 同 的 版 本 : 

(1) 加 密 文件 的 勒索 软件 。 该 类 勒索 软件 渗入 计算 机 后 ， 它 会 自动 找 出 用 户 最 常 使 用 的 图 
片 、 音 视频 等 文件 ， 然 后 对 其 加 密 ， 并 对 受害 者 进行 提示 ， 告 知 受害 者 如 果 他 们 想 要 解密 这 些 
被 加 密 的 数据 ， 唯 一 的 方法 就 是 支付 赎金 。 该 类 勒索 软件 大 多 数 是 依靠 木马 程序 传播 的 。 

(2) 非 加 密 类 型 的 勒索 软件 。 这 个 类 型 的 勒索 软件 会 封锁 整个 计算 机 系统 并 威胁 受害 者 文 
付 赎金 。 它 一 旦 渗入 系统 ， 就 会 找 出 受害 者 计算 机 上 存 有 的 非法 文件 ， 比 如 色情 内 容 或 未 经 授 
权 的 程序 版 本 ， 然 后 病毒 即 会 锁 住 计算 机 并 开始 显示 一 个 看 似 来 目 政府 当权 者 的 巨大 警告 信 
县 。 在 这 种 情况 下 ， 受 害 者 会 被 通知 他 /她 的 计算 机 在 经 过 扫描 后 检测 到 了 非法 文件 ， 受 害 者 需 
支付 避 款 以 避免 牢狱 之 灾 。 

(3) 锁 住 浏览 器 的 勒索 软件 。 这 类 勒索 软件 厂 本 并 不 感染 计算 机 系统 , 它 是 依靠 JavaScript 
来 封锁 浏览 器 ， 然 后 显示 巨大 的 警告 信息 。 这 个 伪造 的 通知 与 来 自 “ 非 加 密 类 型 的 勒索 软件 ” 
的 警告 非常 相似 ， 它 通常 会 告知 用 户 曾经 在 网 上 进行 了 哪些 非法 活动 ， 然 后 要 求 用 户 支 付 赎金 
以 免除 牢狱 灾害 。 当 然 ， 这 些 勒 索 软 件 与 联邦 调查 局 (FBI) 、 欧 洲 刑 警 组 织 〈《Europol) 和 其 
他 政府 机 构 根 本 没有 任何 关联 。 
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5.3.2 ”黑客 攻击 及 防御 


1. 黑客 和 黑客 攻击 


黑客 〈Hacker) 在 当前 的 网 络 世 界 中 有 褒贬 二 重 的 含义 。 从 襄 义 方面 讲 ， 黑 客 特 指 一 些 特 
别 优秀 的 程序 员 或 技术 专家 。1998 年 日 本 出 版 的 《新 黑客 字典 》 对 黑客 的 定义 是 : “喜欢 探索 
软件 程序 奥秘 ， 并 从 中 增长 其 个 人 才干 的 人 。 他 们 不 像 绝 大 多 数 计算 机 使 用 者 ， 只 规 规矩 矩 地 
了 解 别 人 指定 了 解 的 范围 狭小 的 部 分 知识 。” 他 们 对 于 操作 系统 和 编程 语言 有 着 深刻 的 认识 ， 
乐于 探索 操作 系统 的 奥秘 且 善 于 通过 探索 了 解 系统 中 的 漏洞 及 其 原因 所 在 。 他 们 恪守 这 样 一 条 
准则 : 永 不 破坏 任何 系统 。 从 贬义 方面 讲 ， 黑 客 是 一 些 蓄 意 破坏 计算 机 和 电话 系统 的 人 。 真 正 
的 黑客 把 这 些 人 叫 作 “ 骇 客 ”Cracker) ， 并 不 层 与 之 为 伍 。 本 节 主 要 介绍 一 些 黑客 的 基本 知 
识 ， 包 括 信息 的 收集 和 攻击 的 方式 。 

1) 信息 的 收集 

黑客 攻击 的 效 末 和 他 们 对 目标 的 了 解 程 度 有 痢 直 接 的 相关 性 。 因 此 ， 信 息 收 集 在 攻击 过 程 
中 占据 着 头等 重要 的 位 置 ， 包 括 财务 数据 、 硬 件 配置 、 人 员 结 构 、 网 络 架构 和 整体 利益 等 诸多 
方面 。 而 且 互 联网 上 的 共享 资源 可 以 为 几乎 任何 攻击 阶段 提供 有 价值 的 信息 。 信 息 收 集 的 主要 
方 臣 录 下 ， 

(1) 网 络 监测 : 一 类 快速 检测 网 络 中 计算 机 漏洞 的 工具 ， 包 括 嗅 探 应 用 软件 ， 能 在 计算 机 
内 部 或 通过 网 络 来 捕捉 传输 过 程 中 的 密码 等 数据 信息 。 

(2) 社会 工程 : 运用 操纵 技巧 来 获取 信息 。 例 如 ， 在 喝酒 交谈 过 程 中 询问 对 方 密码 或 账号 
等 信息 ， 或 是 伪 钱 成 另 一 个 人 驹 取信 息 。 

(3) 公共 资源 和 垃圾 : 从 公开 的 广告 资料 甚至 是 垃圾 中 收集 信息 。 

(4) 后 门 工 具 : 这 是 一 些 工 具 包 ， 用 来 掩盖 计算 机 安全 已 受到 威胁 的 事实 。 

2) 黑客 的 攻击 方式 

黑客 主要 的 攻击 方式 有 以 下 几 种 ; 

(1) 拒绝 服务 攻击 。 

(2) 缓冲 区 溢出 攻击 。 

(3) 漏洞 攻击 。 

(4) 欺骗 攻 击 。 

下 面 分 别 对 这 几 种 攻击 方法 及 其 防御 进行 介绍 。 


2. 拒绝 服务 攻击 与 防御 


拒绝 服务 攻击 〈Denial of Service，DoS) 是 由 人 为 或 非 人 为 发 起 的 行动 ， 使 主机 硬件 、 软 
件 或 者 两 者 同时 失去 工作 能 力 ， 使 系统 不 可 访问 并 因此 拒绝 合法 的 用 户 服务 要 求 。 拒 绝 服务 攻 
击 的 主要 企图 是 借助 于 网 络 系统 或 网 络 协议 的 缺陷 和 配置 漏洞 进行 网 络 攻 击 ， 使 网 络 拥塞 、 系 
统 资源 耗 尽 或 者 系统 应 用 死 锁 ， 妨 碍 目标 主机 和 网 络 系统 对 正常 用 户 服务 请 求 的 及 时 响应 ， 造 
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成 服务 的 性 能 受 损 甚 至 导致 服务 中 断 。 

由 于 目前 个 人 计算 机 或 者 服务 器 系统 的 性 能 逐渐 在 提升 , 网 络 带宽 也 由 原来 的 10Mbps 逐步 提 
升 到 1Gbps 甚至 是 10Gbps， 由 个 人 对 其 他 主机 发 起 攻击 行为 ， 要 使 其 性 能 受 损 或 者 服务 中 断 ， 非 
常 困 难 。 目 前 常见 的 拒绝 服务 攻击 为 分 布 式 拒绝 服务 攻击 〈Distributed Denial of Service，DDoS ) 。 

要 对 服务 器 实施 拒绝 服务 攻击 ， 有 两 种 思路 : 一 种 是 服务 器 的 缓冲 区 满 ,不 接收 新 的 请 求 ; 
另 一 种 是 使 用 卫 其 旷 ， 迫 使 服务 器 把 合法 用 户 的 连接 复位 ， 影 响 合法 用 户 的 连接 ， 这 也 是 拒绝 
服务 攻击 实施 的 基本 思想 。 

1) 传统 拒绝 服务 攻击 的 分 类 

拒绝 服务 攻击 有 许多 种 ， 网 络 的 内 外 部 用 户 都 可 以 发 动 这 种 攻击 。 内 部 用 户 可 以 通过 长 时 
间 占 用 系统 的 内 存 、CPU 处 理 时 间 使 其 他 用 户 不 能 及 时 得 到 这 些 资 源 ， 而 引起 拒绝 服务 攻击 ; 
外 部 黑客 也 可 以 通过 占用 网 络 连 接 使 其 他 用 户 得 不 到 网 络 服务 。 本 节 主 要 讨论 外 部 用 户 实施 的 
拒绝 服务 攻击 。 

外 部 用 户 针 对 网 络 连接 发 动 拒绝 服务 攻击 主要 有 以 下 几 种 模式 : 

(1) 消耗 资源 。 计 算 机 和 网 络 需要 一 定 的 条 件 才能 运行 ， 如 网 络 带宽 、 内 存 、 磁 盘 空 间 、 
CPU 时 间 。 攻击 者 利用 系统 资源 有 限 这 一 特征 , 或 者 是 大 量 地 申请 系统 资源 ,并 长 时 间 地 占用 
或 者 是 不 断 地 加 服务 程序 发 出 请 求 , 使 系统 忙于 处 理 自 己 的 请 求 ， 而 无 暇 为 其 他 用 户 提 供 服务 。 
攻击 者 可 以 针对 以 下 几 种 资源 发 起 拒绝 服务 攻击 : 

G 针对 网 络 连接 的 拒绝 服务 攻击 。 

@) 消耗 磁盘 空间 。 

@) 消耗 CPU 资源 和 内 存 资 源 。 

(2) 破坏 或 更 改 配置 信息 。 计 算 机 系统 配置 上 的 错误 也 可 能 造成 拒绝 服务 攻击 ， 尤 其 是 服 
务 程序 的 配置 文件 以 及 系统 、 用 户 的 启动 文件 。 这 些 文 件 一 般 只 有 该 文件 的 属 主 才 可 以 写 入 ， 
如 果 权 限 设置 有 误 ， 攻 击 者 《〈 包 括 已 获得 一 般 访 问 权 的 黑客 与 恶意 的 内 部 用 户 ) 可 以 修改 配置 
文件 ， 从 而 改变 系统 回 外 提供 服务 的 方式 。 

(3) 物理 破坏 或 改变 网 络 部 件 。 这 种 拒绝 服务 针对 的 是 物理 安全 ， 一 般 来 说 ， 其 通过 物理 
破坏 或 改变 网 络 部 件 以 达到 拒绝 服务 的 目的 。 其 攻击 的 目标 有 计算 机 、 路 由 器 、 网 络 配 线 室 、 
网 络 主干 段 、 电 源 、 冷 却 设备 ， 及 其 他 的 网 络 关 键 设备。 

(4) 利用 服务 程序 中 的 处 理 错误 使 服务 失效 。 最 近 出 现 了 一 些 专门 针对 Windows 系统 的 
攻击 方法 ， 如 局 域 网 拒绝 服务 (CLAND) 攻击 等 。 被 这 些 工 具 攻 击 之 后 ， 目 标 机 的 网 络 连接 就 
会 莫名 其 妙 地 断 掉 ， 不 能 访问 任何 网 络 资源 ， 或 者 出 现 苋 名 其 妙 的 蓝屏 ， 系 统 进 入 死 锁 状 况 。 
这 些 攻击 方法 主要 利用 服务 程序 中 的 处 理 错误 ， 发 送 一 些 该 程序 不 能 正确 处 理 的 数据 包 ， 引 起 
该 服务 进入 死 循 环 。 

2) 分 布 式 拒绝 服务 攻击 

分 布 式 拒绝 服务 攻击 是 对 传统 拒绝 服务 攻击 的 发 展 ， 攻 击 者 首先 侵入 并 控制 一 些 计算 机 ， 
然后 控制 这 些 计算 机 同时 向 一 个 特定 的 目标 发 起 拒绝 服务 攻击 。 传 统 的 拒绝 服务 攻击 有 受 网 络 
资源 的 限制 和 隐蔽 性 差 两 大 缺点 ， 而 分 布 式 拒绝 服务 攻击 却 克 服 了 传统 拒绝 服务 攻击 的 这 两 个 
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致命 弱点 。 分 布 式 拒绝 服务 攻击 的 隐 蔽 性 更 强 ， 通 过 间接 操纵 网 络 上 的 计算 机 实施 攻击 ， 突 破 
了 传统 攻击 方式 从 本 地 攻击 的 局 限 性 。 受 到 分 布 式 拒绝 服务 攻击 时 可 能 的 现象 有 : 

(1) 被 攻击 主机 上 有 大 量 等 竺 的 TCP 连接 。 

(2) 大 量 到 达 的 数据 分 组 〈 包 括 TCP 分 组 和 UDP 分 组 ) 并 不 是 网 站 服务 连接 的 一 部 分 ， 
往往 指 加 机 器 的 任意 端口 。 

(3) 网 络 中 充斥 着 大 量 的 无 用 的 数据 包 ， 源 地 址 为 假 。 

(4) 制造 高 流量 的 无 用 数据 ， 造 成 网 络 拥塞 ， 使 受害 主机 无 法 正常 和 外 界 通信 。 

(5$) 利用 受害 主机 提供 的 服务 和 传输 协议 上 的 缺陷 ， 反 复发 出 服务 请 求 ， 使 受害 主机 无 法 
及 时 处 理 所 有 正 第 请 求 。 

(6) 严重 时 会 造成 死机 。 

分 布 式 拒绝 服务 攻击 引入 了 分 布 式 攻击 和 ClienVServer 结构 , 使 拒绝 服务 攻击 的 威力 激增 。 
同时 ， 分 布 式 拒绝 服务 攻击 吉 括 了 已 经 出 现 的 各 种 重要 的 拒绝 服务 攻击 方法 ， 比 拒绝 服务 攻 
击 的 危害 性 更 大 。 现 有 的 分 布 式 拒绝 服务 攻击 工具 一 般 采 用 三 级 控制 结构 ， 如 图 $-2 所 示 ， 其 
中 Client (客户 端 ) 运行 在 攻击 者 的 主机 上 ,用 来 发 起 和 控制 分 布 式 拒绝 服务 攻击 ; Handler ( 主 
控 端 ) 运行 在 已 被 攻击 者 侵入 并 获得 控制 的 主机 上 ， 用 来 控制 代理 端 ; Agent〈 代 理 冰 ) 运行 在 
己 被 攻击 者 侵入 并 获得 控制 的 主机 上 ， 从 主 控 端 接收 命令 ， 负 责 对 目标 实施 实际 的 攻击 。 
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图 5-2 分布 式 拒绝 服务 攻击 的 三 级 控制 结构 

3) 拒绝 服务 攻击 的 防御 方法 

操作 系统 和 网 络 设备 的 缺陷 在 不 断 地 被 发 现 并 被 攻击 者 所 利用 来 进行 恶意 的 攻击 。 如 果 清 
楚 地 认识 到 这 一 点 ， 应 当 使 用 下 面 的 方法 尽量 阻止 拒绝 服务 攻击 ; 

(1) 加 强 对 数据 包 的 特征 识别 ， 攻 击 者 在 传达 攻击 命令 或 发 送 攻击 数据 时 ， 虽 然 都 加 入 了 
伪装 甚至 加 密 ， 但 是 其 数据 包 中 还 是 有 一 些 特征 字符 串 。 通 过 搜寻 这 些 特 征 字符 串 ， 就 可 以 确 
定 攻击 服务 器 和 攻击 者 的 位 置 。 
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(2) 设置 防火 墙 监视 本 地 主机 端口 的 使 用 情况 。 对 本 地 主机 中 的 敏感 痛 口 进行 监视 ， 如 
UDP31335、UDP 27444、TCP 27665， 如 果 发 现 这 些 端口 处 于 监听 状态 ， 则 系统 很 可 能 受到 攻 
击 。 即 使 攻击 者 已 经 对 端口 的 位 置 进行 了 一 定 的 修改 ， 但 如 果 外 部 主机 主动 向 网 络 内 部 高 标号 
问 口 发 起 连接 请 求 ， 则 系统 也 很 可 能 受到 侵入 。 

(3 ) 对 通信 数据 量 进行 统计 也 可 获得 有 关 攻 击 系统 的 位 置 和 数量 信息 。 例 如 , 在 攻击 之 六 ， 
目标 网 络 的 域名 服务 器 往往 会 接收 到 远 远 超过 正常 数量 的 反 同 和正 同 的 地 址 查询 。 在 攻击 时 ， 
攻击 数据 的 来 源 地 址 会 发 出 超出 正 第 极限 的 数据 量 。 

(4) 尽 可 能 地 修正 已 经 发 现 的 问题 和 系统 漏洞 。 


3. 欺 镶 攻击 与 防御 


1) ARP 舱 骗 

ARP 欺骗 的 原理 是 : 某 机 器 A 要 癌 主 机 C 发 送 报 文 ， 会 查询 本 地 的 ARP 缓存 表 ， 找 到 C 
的 卫 地 址 对 应 的 MAC 地 址 后 ， 就 会 进行 数据 传输 。 如 条 未 找到 ， 则 广播 一 个 ARP 请 求 报 文 
(携带 主机 A 的 卫 地 址 Ia 一 一 物理 地 址 AA:AA:AA:AA) ， 请 求 卫 地 址 为 Ic 的 主机 C 回答 物 
理 地 址 Pc。 网 上 所 有 主机 包括 C 都 收 到 ARP 请 求 ， 但 只 有 主机 C 识别 自己 的 卫 地 址 ， 于 是 回 
A 主机 发 回 一 个 ARP 响应 报 文 。 其 中 就 包含 C 的 MAC 地 址 CC:CC:CC:CC，A 接收 到 C 的 应 
答 后 , 就 会 更 新 本 地 的 ARP 缓存 。 接 着 使 用 这 个 MAC 地 址 发 送 数据 (由 网 卡 附加 MAC 地 址 ) 。 
因此 ， 本 地 高 速 缓存 的 这 个 ARP 表 是 本 地 网 络 流通 的 基础 ， 而 且 这 个 缓存 是 动态 的 。 

ARP 协议 并 不 只 在 发 送 了 ARP 请 求 时 才 接 收 ARP 应 答 。 当 计算 机 接收 到 ARP 应 答 数 据 包 的 
时 候 ， 就 会 对 本 地 的 ARP 缓存 进 行 更 新 ， 将 应 答 中 的 卫 和 MAC 地 址 存储 在 ARP 缓存 中 。 因 此 ， 
局 域 网 中 的 机 器 B 首先 攻击 C 使 C 次 病 ， 然 后 向 A 发 送 一 个 自己 伪造 的 ARP 应 答 ， 而 如 果 这 个 
应 答 是 B 冒充 C 伪造 的 ， 即 卫 地 址 为 C 的 ， 而 MAC 地 址 是 B 的 ， 则 当 A 接收 到 B 伪造 的 ARP 
应 答 后 ， 就 会 更 新 本 地 的 ARP 缓存 ， 这 样 在 A 看 来 C 的 卫 地 址 没有 变 ， 而 它 的 MAC 地 址 已 经 变 
成 B 的 了 。 由 于 局 域 网 的 网 络 流通 不 是 根据 地 址 进行 ， 而 是 按照 MAC 地 址 进行 传输 。 如 此 束 造 成 
A 传送 给 C 的 数据 实际 上 传送 到 B。 这 就 是 一 个 简单 的 ARP 其 ， 如 图 $-3 所 示 。 
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ARP 其 统 的 防范 措施 具体 如 下 : 

(1) 在 WinXP 下 输入 命令 arp -S_ gate-way-ip gate-way-mac 固化 ARP 表 ， 阳 止 ARP 其 驻 。 

(2) 使 用 ARP 服务 器 。 通 过 该 服务 器 查找 目 己 的 ARP 转换 表 来 啊 应 其 他 机 器 的 ARP 广 
播 。 确 保 这 台 ARP 服务 器 不 被 黑 。 

(3) 采用 双 回 绑 定 的 方法 解决 并 且 防 止 ARP 欺 驻 。 

(4) 使 用 ARP 防护 软件 一 ARP Guard。 通 过 系统 底层 核心 驱动 ， 无 须 安 装 其 他 任何 第 三 
方 软件 《如 WinPcap) ， 以 服务 及 进程 并 存 的 形式 随 系统 启动 并 运行 ， 不 占用 计算 机 系统 资源 。 
无 须 对 计算 机 进行 卫 地 址 及 MAC 地 址 绑 定 ， 从 而 避免 了 大 量 且 无 效 的 工作 量 。 也 不 用 担心 计 
算 机 会 在 重启 后 新 建 ARP 缓存 列表 , 因为 此 软件 是 以 服务 与 进程 相 结合 的 形式 存在 于 计算 机 中 
的 ， 当 计算 机 重启 后 软件 的 防护 功能 也 会 随 操作 系统 自动 启动 并 工作 。 

2) DNS 欺骗 

DNS 其 统 是 一 种 比较 章 见 的 攻击 手段 。 一 个 著名 的 利用 DNS 其 驻 进 行 攻击 的 案例 ， 是 全 
球 著 名 网 络 安全 销售 商 RSA Security 的 网 站 所 遭 到 的 攻击 。 其 实 RSA Security 网 站 的 主机 并 没 
有 被 入 侵 ， 而 是 RSA 的 域名 被 黑客 劫持 ， 当 用 户 连 上 RSA Security 时 ， 发 现 主页 被 改 成 了 其 他 
的 内 容 。 

(1) DNS 其 统 的 原理 : DNS 其 允 首 先是 冒充 域名 服务 左 ， 然 后 把 得 询 的 卫 地 址 设 为 攻击 
者 的 卫 地 址 ， 这 样 的 话 ， 用 户 上 网 承 只 能 看 到 攻击 者 的 主页 ， 而 不 是 用 户 想 要 取得 的 网 站 的 主 
页 了 。DNS 欺骗 其 实 并 不 是 真 的 “ 黑 反 ”了 对 方 的 网 站 ， 而 是 冒名 顶 珍 、 招 播 撞 台 叶 了 。 

(2) DNS 欺骗 的 实现 过 程 : 如 图 $-4 所 示 ，www.xxx.com 的 卫 地 址 为 202.109.2.2， 如 果 
Www.angel.com 回 www.xxXx.com 的 子 域 DNS 服务 器 查询 www.xxx.com 的 卫 地 址 时 ， 
www.heike.com 冒充 DNS 向 www.angel.com 回复 www.xxx.com 的 卫 地 址 为 200.1.1.1， 这 时 
www.angel.com 就 会 把 200.1.1.1 当 作 www.xxx.com 的 地 址 了 。 当 www.angelcom 连接 
www.XxXx.com 时 ， 就 会 转向 那个 虚假 的 瑟 地 址 了 ， 这 样 对 www.xxx.com 来 说 ， 就 算是 被 黑 掉 
了 。 因 为 别人 根本 连接 不 上 乞 的 域名 。 

(3) DNS 欺骗 的 检测 : 根据 检测 手段 的 不 同 ， 将 其 分 为 被 动 监听 检测 、 虚 假 报 文 探 测 和 交 
叉 检 查 碍 询 三 种 。 

GO 被 动 监 听 检 测 : 该 检测 手段 是 通过 劳 路 监听 的 方式 ,捕获 所 有 DNS 请 求 和 应 答 数据 包 ， 
并 为 其 建立 一 个 请 求 应 答 映 射 表 。 如 果 在 一 定 的 时 间 间 隅 内 ， 一 个 请 求 对 应 两 个 或 两 个 以 上 续 
果 不 同 的 应 答 包 ， 则 怀疑 受到 了 DNS 其 驴 攻 击 ， 因 为 DNS 服务 器 不 会 给 出 多 个 结果 不 同 的 
应 答 包 ， 即 使 目标 域名 对 应 多 个 卫 地 址 ，DNS 服务 喜 也 会 在 一 个 DNS 应 答 包 中 返回 ， 只 是 
有 多 个 应 答 域 (Answer Section) 而 已 。 

@) 虚假 报 文 探测 : 该 检测 手段 采用 主动 发 送 探测 包 的 方式 来 检测 网 络 内 是 否 存 在 DNS 坎 
驴 攻 击 者 。 这 种 探测 手段 基于 一 个 简单 的 假设 : 攻击 者 为 了 尽快 地 发 出 舱 驻 包 ， 不 会 对 域名 服 
务 器 卫 地 址 的 有 效 性 进行 验证 。 这 样 ， 如 果 回 一 个 非 DNS 服务 器 发 送 请 求 包 ， 正 第 来 说 不 会 
收 到 任何 应 答 ， 但 是 由 于 攻击 者 不 会 验证 目标 卫 地 址 是 否 是 合法 DNS 服务 器 ， 他 会 继续 实施 
其 统 攻击 ， 因 此 ， 如 有 条 收 到 了 应 答 包 ， 则 说 明 受 到 了 攻击 。 
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@) 交叉 检查 查询 : 所 谓 交 叉 检查 即 在 客户 问 收 到 DNS 应 答 包 之 后 ， 回 DNS 服务 器 反 回 
查询 应 答 包 中 返回 的 了 瑟 地 址 所 对 应 的 DNS 名 字 , 如 条 二 者 一 致 说 明 没 有 受到 攻击 ,否则 说 明 
被 其 骗 。 


中 7 DNS 查询 
DNS 服务 器 


WwWwW.XXX,Com \\ www.angle.com 


IP 地 址 : 202.109.2.2 JR 
昌 过 


Www.helke.com 
IP 地 址 : 200.1.1.1 


WWW.XXX.COIDI 


IP 地 址 : 200.1.1.1 


图 $-4 DNS 其 骗 


3) IP 欺骗 

(1) 卫 其 统 的 原理 。 通 过 编程 的 方法 可 以 随意 改变 发 出 的 包 的 卫 地 址 ， 但 工作 在 传输 层 
的 TCP 协议 是 一 种 相对 可 靠 的 协议 ， 不 会 让 黑客 轻易 得 偿 。 由 于 TCP 是 面向 连接 的 协议 ， 所 
以 在 双方 正式 传输 数据 之 前 ， 需 要 用 “三 次 握手 ”来 建立 一 个 值得 信赖 的 连接 。 假设 是 HOSTA 
和 了 HOST B 两 台 主 机 进行 通信 ，HOST B 首先 发 送 带 有 SYN 标志 的 数据 段 通知 HOST A 建立 
TCP 连接 ，TCP 的 可 靠 性 就 是 由 数据 包 中 的 多 位 控制 字 来 提供 的 ， 其 中 最 重要 的 是 数据 序列 
SYN 和 数据 确认 标志 ACK。HOST B 将 TCP 报头 中 的 SYN 设 为 自己 本 次 连接 中 的 初始 值 
(CISN) 。 假 如 想 冒 序 HOSTB 对 HOST B 进行 攻击 ， 就 要 先 使 HOST B 失去 工作 能 力 ， 也 就 是 
所 谓 的 拒绝 服务 攻击 ， 让 HOST B 次 痪 。 

(2) 卫 其 允 的 防范 。 虽 然 耻 欺骗 攻击 有 痢 相 当 大 的 难度 ， 但 这 种 攻击 非常 广泛 ， 入 侵 往 
往 由 这 里 开始 。 预 防 这 种 攻击 可 以 删除 UNIX 中 所 有 的 /etc/hosts.equiv、$HOME/rhosts 文件 ， 
修改 /ete/inetd.conf 文件 ， 使 得 RPC 机 制 无 法 应 用 。 另 外 ， 还 可 以 通过 设置 防火 墙 过 滤 来 自 外 部 
而 信 源 地 址 却 是 内 部 下 地 址 的 报 文 。 


4. 站 口 扫 摘 


网 络 中 的 每 一 台 计 算 机 如 同一 座 城 堡 ， 在 这 些 城堡 中 ， 有 的 对 外 完全 开放 ， 有 的 却 是 紧 锁 
城 门 。 在 网 络 技术 中 ， 把 这 些 城堡 的 城 门 称 为 计算 机 的 “端口 ”。 端 口 扫 描 是 入 侵 者 搜集 信息 
的 几 种 常用 手法 之 一 ， 也 正 是 这 一 过 程 最 容易 使 入 侵 者 暴露 自己 的 身份 和 意图 。 一 般 来 说 ， 扫 
描 问 口 有 如 下 目的 : 

41) 判断 目标 主机 上 开放 了 哪些 服务 ; 

〈2) 判断 目标 主机 的 操作 系统 。 
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如 果 入 侵 者 掌握 了 目标 主机 开放 了 哪些 服务 ， 运 行 何 种 操作 系统 ， 他 们 就 能 够 使 用 相应 的 
手段 实现 入 侵 。 

1) 端口 扫描 原理 

“端口 ”在 计算 机 网 络 领域 中 是 个 非常 重要 的 概念 。 它 是 专门 为 计算 机 通信 而 设计 的 ， 它 
不 是 硬件 ， 不 同 于 计算 机 中 的 “ 插 槽 ”， 可 以 说 是 个 “ 软 插 槽 ”。 如 果 有 需要 的 话 ， 一 台 计 算 
机 中 可 以 有 上 万 个 端口 。 

端口 是 由 计算 机 的 通信 协议 TCP/AP 协议 定义 的 。 其 中 规定 , 用 卫 地 址 和 端口 作为 套 接 字 ， 
它 代 表 TCP 连接 的 一 个 连接 端 ， 一 般 称 为 Socket。 有 具体 来 说 ， 就 是 用 [IP: 端口 ] 来 定位 一 台 主 
机 中 的 进程 。 可 以 做 这 样 的 比喻 ， 端 口 相当 于 两 台 计 算 机 进程 间 的 大 门 ， 可 以 随便 定义 ， 其 目 
的 只 是 让 两 台 计 算 机 能 够 找到 对 方 的 进程 。 计 算 机 就 像 一 座 大 楼 , 这 个 大 楼 有 好 多 入 口 ( 端 口 )， 
进 到 不 同 的 入 口中 就 可 以 找到 不 同 的 公司 〈 进 程 ) 。 如 果 要 和 远程 主机 A 的 程序 通信 ， 那 么 只 
要 把 数据 发 向 [A: 端口 ] 就 可 以 实现 通信 了 。 

端口 扫描 就 是 尝试 与 目标 主机 的 某 些 端口 建立 连接 ， 如 果 目 标 主机 该 端口 有 回复 〈 见 三 次 
握手 中 的 第 二 次 ) ， 则 说 明 该 端口 开放 ， 即 为 “活动 端口 ”。 

2) 扫描 类 型 

各 见 的 扫描 类 型 有 以 下 几 种 ; 

(1) 全 TCP 连接 。 这 种 扫 摘 方法 使 用 三 次 握手 ， 与 目标 计算 机 建立 标准 的 TCP 连接 。 需 
要 说 明 的 是 ， 这 种 古老 的 扫 摘 方法 很 容易 被 目标 主机 记录 。 

(2) 半 打 开 式 扫描 〈SYN 扫描) 。 在 这 种 扫描 技术 中 ， 扫 描 主 机 自动 向 目标 计算 机 的 指定 
端口 发 送 SYN 数据 段 ， 表 示 发 送 建立 连接 请 求 。 

e。 如 果 目 标 计算 机 的 回应 TCP 报 文 中 SYN=1，ACK=1， 则 说 明 该 端口 是 活动 的 ， 接 着 扫描 

主机 传送 一 个 RST 给 目标 主机 拒绝 建立 TCP 连接 ， 从 而 导致 三 次 握手 过 程 的 失败 。 
e。 如 果 目 标 计算 机 的 回应 是 RST， 则 表示 该 端口 为 “ 死 端 口 ”， 这 种 情况 下 ， 扫 描 主 机 
不 用 做 任何 回应 。 

由 于 扫描 过 程 中 ， 全 连接 尚未 建立 ， 所 以 大 大 降低 了 被 目标 计算 机 记录 的 可 能 性 ， 并 且 加 
快 了 扫 摘 的 速度 。 

(3) FIN 扫描。 在 前 面 介绍 过 的 TCP 报 文 中 , 有 一 个 字段 为 FIN,，FIN 扫描 则 依靠 发 送 FIN 
来 判断 目标 计算 机 的 指定 端口 是 否 活动 。 

发 送 一 个 FIN=1 的 TCP 报 文 到 一 个 关闭 的 端口 时 ， 该 报 文 会 被 丢 反 ， 并 返回 一 个 RST 报 
文 。 但 是 ,如果 EFIN 报 文 到 一 个 活动 的 端口 时 ， 该 报 文 只 是 被 简单 地 丢掉 ， 不 会 返回 任何 回应 。 

从 FIN 扫描 可 以 看 出 ， 这 种 扫描 没有 涉及 任何 TCP 连接 部 分 ， 因 此 ， 这 种 扫 摘 比 前 两 种 
都 安全 ， 可 以 称 之 为 秘密 扫描 。 

(4) 第 三 方 扫 朱 。 第 三 方 扫描 又 称 “ 代 理 扫 朱 ”， 这 种 扫描 是 利用 第 三 方 主机 来 代替 入 侵 
者 进行 扫描 。 这 个 第 三 方 主机 一 般 是 入 侵 者 通过 入 侵 其 他 计算 机 而 得 到 的 ， 该 第 三 方 主机 常 被 
入 侵 者 称 为 “肉鸡 ”。 这 些 “ 肉 鸡 ” 一 般 为 安全 防御 系数 极 低 的 个 人 计算 机 。 
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S. 强化 TCP/P 堆栈 以 抵御 拒绝 服务 攻击 


针对 TCP/PP 堆栈 的 攻击 方式 有 多 种 类 型 ， 下 面 分 别 介绍 攻击 原理 及 抵御 方法 。 

1) 同步 包 风 暴 (SYN Flooding) 

同步 包 风 骏 是 当前 最 流行 的 拒绝 服务 攻击 与 分 布 式 拒绝 服务 攻击 的 方式 之 一 ， 是 应 用 最 广 
泛 的 一 种 拒绝 服务 攻击 方式 ， 它 的 原理 虽然 简单 ， 但 使 用 起 来 却 十 分 有 效 。 

问题 出 在 TCP 连接 的 三 次 握手 中 , 假设 一 个 用 户 向 服务 器 发 送 了 SYN 报 文 后 突然 死机 或 掉 线 ， 
那么 服务 器 在 发 出 SYN 十 ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 报 文 的 〈 第 三 次 握手 无 法 完 
成 ) ， 这 种 情况 下 服务 器 端 一 般 会 重 试 〈 再 次 发 送 SYN 十 ACK 给 客户 端 ) 并 等 待 一 段 时 间 后 丢弃 
这 个 未 完成 的 连接 ， 这 段 时 间 的 长 度 称 为 SYN Timeout， 一 般 来 说 这 个 时 间 是 分 钟 的 数量 级 〈 一 般 
为 30 秒 一 2 分 钟 ) 。 一 个 用 户 出 现 异 党 导致 服务 器 的 一 个 线程 等 待 1 分 钟 并 不 是 很 大 的 问题 ， 但 
如 果 有 一 个 恶意 的 攻击 者 大 量 模拟 这 种 情况 , 服务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 列表 而 消耗 
非 营 多 的 资源 ， 数 以 万 计 的 半 连 接 ， 即 使 是 简单 的 保存 并 遍历 也 会 消耗 非常 多 的 CPU 时 间 和 内 存 ， 
何况 还 要 不 断 对 这 个 列表 中 的 下 进行 SYN 十 ACK 的 重 试 。 实 际 上 如 果 服 务 器 的 TCP/P 堆栈 不 够 
强大 ， 最 后 的 结果 往往 是 堆栈 游 出 裔 溃 。 即 使 服务 器 端的 系统 足够 强大 ， 服 务 器 端 也 将 忙于 处 理 攻 
击 者 伪造 的 TCP 连接 请 求 而 无 暇 理 皮 客户 的 正常 请 求 〈 毕 竟 客 户 端的 正常 请 求 比率 非常 之 小 ) ， 
此 时 从 正 弟 客户 的 角度 看 来 ， 服 务 器 失去 啊 应 ， 这 种 情况 称 作 服务 器 端 受到 了 SYN Flooding 攻击 。 

如 果 攻 击 者 盗用 的 是 茶 台 可 达 主 机 X 的 卫 地 址 ,由 于 主机 X 没 有 向 主机 D 发 送 连接 请 求 ， 
所 以 当 它 收 到 来 目 D 的 SYN 十 ACK 包 时 ， 会 向 D 发 送 RST 包 ， 主 机 D 会 将 该 连接 重 置 。 
此 ， 攻 击 者 通 币 伪 造 主机 D 不 可 达 的 下 地 址 作为 源 地 址 。 攻 击 者 只 要 发 送 较 少 的 来 源 地 址 经 
过 伪 狂 而且 无 法 通过 路 由 达到 的 SYN 连接 请 求 至 目标 主机 提供 TCP 服务 的 端口 ， 将 目的 主机 
的 TCP 缓存 队列 填 满 ， 就 可 以 实施 一 次 成 功 的 攻击 。 实 际 情况 下 ， 攻 击 者 往往 会 持续 不 断 地 发 
大 SYN 包 ， 故 称 为 “SYN 洪水 ”。 

可 以 通过 修改 注册 表 防 御 SYN Flooding 攻击 ， 修 改 键 值 位 于 注册 表 项 HKEY LOCAL _ 
MACHINENSystemNCurrentControlSet\Services 的 下 面 ， 如 表 S$-2 所 示 。 


表 S-2 防御 SYN Flooding 所 需 修改 键 值 


值 名 称 值 (REG DWORD) 

SynAttackProtect 迪 

TcpMaxPortsExhausted ] 

TcpMaxHalfoOpen 300 

TcpMaxHalfoDpenRetried 400 
TcpMaxConnectResponseRetransmlsslons 2 

TcpMaxDataRetransmlsslons 本 

EnablePMTUDiscovery 0 

KeepAliveTime 300 000〈5S 分 钟 ) 


NoNameReleaseOnDemand ] 
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2) ICMP 攻击 

ICMP 协 议 是 TCP/ 了 下 协议 集中 的 一 个 子 协 议 , 主要 用 于 在 主机 与 路 由 器 之 间 传 递 控制 信息 ， 
包括 报告 错误 、 交 换 受 限 控 制 和 状态 信息 等 。 当 遇 到 卫 数据 无 法 访问 目标 、 卫 路 由 器 无 法 按 
当前 的 传输 速率 转发 数据 包 等 情况 时 ， 会 自动 发 送 ICMP 消息 。 我 们 可 以 通过 Ping 命令 发 送 
ICMP 回应 请 求 消息 并 记录 收 到 的 ICMP 回应 回复 消息 ， 通 过 这 些 消 息 来 对 网 络 或 主机 的 故障 
提供 参考 依据 。 

ICMP 协议 本 身 的 特点 决定 了 它 非 营 容 易 被 用 于 攻击 网 络 上 的 路 由 器 和 主机 。 比 如 ， 前 面 
所 到 的 “Ping of Death ”攻击 就 是 利用 操作 系统 规定 的 ICMP 数据 包 最 大 尺寸 不 超过 64KB 这 一 
规定 ， 达 到 使 TCP/P 堆栈 裔 溃 、 主 机 死机 的 效果 。 

可 以 通过 修改 注册 表 防 御 ICMP 攻击 ， 修 改 键 值 位 于 注册 表 项 
HKLMNSystemN\CurrentControlSetServicesS\AFDNParameters 的 下 面 ， 如 表 $-3 所 示 。 


表 S$-3 防御 ICMP 所 需 修改 键 值 
值 名 称 值 (REG DWORD) 
EnableICMPRedirect 0 


3) SNMP 攻击 

SNMP 是 TCP/ 耻 网 络 中 标准 的 管理 协议 , 它 允 许 网 络 中 的 各 种 设备 和 软件 ,包括 交换 机 、 
路 由 器 、 防 火场 、 集 线 器 、 甚 至 操作 系统 、 服 务 器 产品 和 部 件 等 ， 能 与 管理 软件 通信 ， 汇 报 
其 当前 的 行为 和 状态 。 但 是 ，SNMP 还 能 被 用 于 控制 这 些 设 备 和 产品 ， 重 定向 通信 流 ， 改 变 
通信 数据 包 的 优先 级 ， 甚 至 断 开 通信 连接 。 总 之 ， 入 侵 者 如 果 具 备 相应 能 力 ， 就 能 完全 接管 
你 的 网 络 。 

可 以 通过 修改 注册 表 防 御 ICMP 攻击 ， 修 改 键 值 位 于 注册 表 项 

HKLMNSystem\CurrentControlSetServices\Icpip\Parameters 的 下 面 ， 如 表 $-4 所 示 。 


表 S-4 防御 SNMP 所 需 修 改 键 值 


值 名 称 值 (REG DWORD) 
EnableDeadGWDetect 0 


6. 系统 漏洞 扫描 


系统 漏洞 扫描 是 对 重要 计算 机 信息 系统 进行 检查 ， 发 现 其 中 可 能 被 黑客 利用 的 漏洞 。 系 统 
漏 洞 扫描 的 结果 是 对 系统 安全 性 能 的 一 个 评估 ， 指 出 哪些 攻击 是 可 能 的 ， 因 此 ， 其 成 为 安全 方 
案 的 一 个 重要 组 成 部 分 。 目 前 ， 系 统 漏 洞 扫 描 从 底层 技术 来 划分 ， 可 以 分 为 基于 网 络 的 扫描 和 
基于 主机 的 扫描 这 两 种 类 型 。 

1) 基于 网 络 的 漏洞 扫描 

基于 网 络 的 漏洞 扫 摘 右 ， 是 通过 网 络 来 扫描 远程 计算 机 中 的 漏洞 。 比 如 ， 利 用 低 版 本 的 
DNS Bind 漏洞 ， 攻 击 者 能 够 获取 root 权限 侵入 系统 ， 或 者 攻击 者 能 够 在 远程 计算 机 中 执行 亚 
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意 代 码 。 使 用 基于 网 络 的 漏洞 扫描 工具 ， 能 够 监测 到 这 些 低 版 本 的 DNS Bind 是 否 在 运行 。 一 
般 来 说 ， 基 于 网 络 的 漏洞 扫 朱 工具 可 以 看 作 一 种 漏洞 信息 收集 工具 ， 根 据 不 同 漏洞 的 特性 ， 构 
造 网 络 数据 包 ， 发 给 网 络 中 的 一 个 或 多 个 目标 服务 器 ， 以 判断 某 个 特定 的 漏洞 是 否 存在 。 基 于 
网 络 的 漏 铜 扫 朱 器 ， 一 般 有 以 下 几 个 方面 组 成 : 

(1 ) 漏 铜 数据 库 模 块 : 漏洞 数据 库 包 含 了 各 种 操作 系统 的 各 种 漏洞 信息 ， 以 及 如 何 检测 漏 
洞 的 指令 。 

(2) 用 户 配置 控制 台 模 块 : 用 户 配置 控制 台 与 安全 管理 员 进 行 交 互 ， 用 来 设置 要 扫描 的 目 
标 系 统 ， 以 及 扫描 哪些 漏洞 。 

(3) 扫 摘 引擎 模块 : 扫 摘 引擎 是 扫 摘 嚣 的 主要 部 件 。 根 据 用 户 配置 控制 台 部 分 的 相关 设置 ， 
扫描 引擎 组 逆 好 相应 的 数据 包 ， 发 送 到 目标 系统 ， 将 接收 到 的 目标 系统 的 应 答 数 据 包 与 漏洞 数 
据 库 中 的 漏洞 特征 进行 比较 ， 来 判断 所 选择 的 漏洞 是 否 存在 。 

(4) 当前 活动 的 扫 摘 知识 库 模 块 : 通过 得 看 内 存 中 的 配置 信息 ， 该 模块 监控 当前 活动 的 扫 
描 ， 将 要 扫描 的 漏洞 的 相关 信息 提供 给 扫 摘 引擎 。 

(5$) 结果 存储 器 和 报告 生成 工具 : 报告 生成 工具 ， 利 用 当前 活动 扫描 知识 库 中 存储 的 扫描 
结果 ， 生 成 扫 摘 报告 。 

基于 网 络 的 漏 筒 扫 摘 堪 具 有 如 下 优 点 : 

(1) 价格 相对 来 说 比较 便宜 。 

(2) 在 操作 过 程 中 ， 不 需要 涉及 目标 系统 的 管理 员 。 

(3) 在 检测 过 程 中 ， 不 需要 在 目标 系统 上 安 闭 任何 东西 。 

(4) 维护 简便 。 当 企业 的 网 络 发 生变 化 的 时 候 ， 只 要 某 个 节点 能 够 扫描 网 络 中 的 全 部 目标 
系统 ， 基 于 网 络 的 漏洞 扫描 堪 就 不 需要 进行 调整 。 

2) 基于 主机 的 漏洞 扫描 

基于 主机 的 漏洞 扫描 器 扫 拉 目标 系统 的 漏洞 的 原理 ， 与 基于 网 络 的 漏洞 扫描 需 的 原理 类 
似 ， 但 是 ， 两 者 的 体系 结构 不 一 样 。 基 于 主机 的 漏洞 扫描 峰 通 利 在 目标 系统 上 安装 一 个 代理 
(Agent) 或 者 是 服务 〈Services) ， 以 便 能 够 访问 所 有 的 文件 与 进程 ， 这 也 使 得 基于 主机 的 漏洞 
扫描 堪 能 够 扫描 更 多 的 漏洞 。 

基于 主机 的 漏洞 扫 摘 器 具有 如 下 优点 : 

(1) 扫描 的 漏洞 数量 多 。 

(2) 集中 化 管理 。 基 于 主机 的 漏洞 扫描 器 通 第 都 有 个 集中 的 服务 器 作为 扫描 服务 器 。 所 有 
扫描 的 指令 ， 均 从 服务 器 进行 控制 ， 这 一 点 与 基于 网 络 的 漏洞 扫描 器 类 似 。 服 务 器 下 载 到 最 新 
的 代理 程序 后 ， 再 分 发 给 各 个 代理 。 这 种 集中 化 的 管理 模式 ， 使 得 基于 主机 的 漏洞 扫描 器 在 部 
赣 上 能 够 快速 实现 。 

(3) 网 络 流量 负载 小 。 由 于 ESM 管理 器 与 ESM 代理 之 间 只 有 通信 的 数据 包 ， 漏 洞 扫 描 部 
分 都 由 ESM 代理 单独 完成 ， 这 就 大 大 减少 了 网 络 的 流量 负载 。 当 扫描 结束 后 ，ESM 代理 再 次 
与 ESM 管理 器 进行 通信 ， 将 扫描 结果 传送 给 ESM 管理 器 。 
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5.4 防火 场 及 访问 控制 技术 


防火 场 的 本 义 是 指 训 代 构筑 和 使 用 木 制 结构 房屋 的 时 候 ， 为 防止 火灾 的 发 生 和 莹 延 ， 人 们 
将 坚固 的 石 块 堆砌 在 房屋 周围 作为 屏 陆 ， 这 种 防护 构筑 物 就 被 称 为 “防火 墙 ”。 在 网 络 安全 防 
护 体 系 中 ， 与 防火 寺 一 起 起 作用 的 是 安全 策略 ， 即 对 特定 目标 的 访问 控制 策略 的 制定 和 实施 。 


5.4.1 防火 墙 技 术 概 述 


防火 寺 是 设置 在 两 个 或 多 个 网 络 之 间 的 安全 阻隔 ， 用 于 保证 本 地 网 络 资源 的 安全 ， 通 单 是 
包含 软件 部 分 和 硬件 部 分 的 一 个 系统 或 多 个 系统 的 组 合 。 内 部 网 络 被 认为 是 安全 和 可 信赖 的 ， 
而 外 部 网 络 〈 通 党 是 mternet) 被 认为 是 不 安全 和 不 可 信赖 的 。 

如 条 按 防 火 才 的 软 、 便 件 形 式 进 行 分 类， 防火 墙 可 以 分 为 便 件 防火 场 、 软 件 防火 场 和 舱 入 
陈 防 火 墙 。 

防火 场 技术 可 根据 防范 的 方式 和 侧重 点 的 不 同 而 有 所 区 别 。 如 果 按 防火 墙 技术 进行 分 类 ， 
防火 场 可 以 分 为 包 过 滤 型 防火 场 、 应 用 层 网 关 防 火场 、 代 理 服 务 型 防火 墙 。 

防火 场 的 经 典 体 系 结构 主要 有 三 种 形式 : 双重 牡 主 主 机 体系 结构 、 被 屏 珊 主机 体系 结构 和 
衫 屏 珊 子 网 体系 结构 。 


5.4.2 分布 式 防 火 墙 


1. 分 布 式 防 火 墙 (Distributed Firewalls) 技术 的 产生 


传统 的 边界 式 防火 墙 具 对 企业 网 络 的 周边 提供 保护 。 边 界 式 防 火 墙 对 从 外 部 网 络 进入 企业 
内 部 局 域 网 的 流量 进行 过 滤 和 审查 ， 它 们 并 不 能 确保 企业 内 部 网 络 用 户 之 间 的 安全 访问 。 据 统 
计 ，60% 的 攻击 和 越权 访问 来 自 内 部 ， 边 界 式 防火 墙 在 对 付 网 络 内 部 威胁 时 束手无策 。 

另外 ， 由 于 边界 式 防 火 墙 把 检查 机 制 集中 在 网 络 边界 处 的 单 点 上 ， 产 生 了 网 络 的 瓶颈 和 单 
点 故障 隐患 。 从 性 能 的 角度 来 说 ， 防 火 墙 极 易 成 为 网 络 流量 的 瓶颈 。 

分 布 式 防火 墙 可 以 很 好 地 解决 边界 式 防 火 墙 的 以 上 不 足 ， 把 防火 墙 的 安全 防护 系统 延伸 到 
网 络 中 的 各 台 主 机 。 该 技术 一 方面 保证 用 户 的 投资 低 ， 另 一 方面 给 网 络 所 带 来 的 安全 防护 是 非 
常 全 面 的 。 


2. 分 布 式 防 火 墙 的 结构 


分 布 式 防火 墙 负责 对 网 络 边 界 、 各 子 网 和 网 络 内 部 各 节点 之 间 的 安全 防护 。 根 据 其 所 需 完 
成 的 功能 ， 分 布 式 防火 墙 的 体系 结构 包含 如 下 部 分 : 

(1) 网 络 防火 场 (Network Firewall) 。 它 用 于 内 部 网 与 外 部 网 之 间 ， 以 及 内 部 网 各 子 网 之 
间 的 防护 。 在 功能 上 与 传统 的 边界 式 防 火 寺 类 似 ， 但 与 传统 边界 式 防 火 墙 相 比 ， 它 多 了 一 种 用 
于 对 内 部 子 网 之 间 的 安全 防护 层 ， 这 样 整个 网 络 的 安全 防护 体系 就 显得 更 加 人 全面， 更 加 可 靠 。 
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(2) 主机 防火 场 《Host Firewall) 。 它 用 于 对 网 络 中 的 服务 器 和 昌 面 机 进行 防护 ， 达 到 了 
应 用 层 的 安全 防护 ， 比 起 网 络 层 更 加 彻底 。 这 是 传统 边界 式 防火 墙 所 不 具有 的 ， 是 对 传统 边界 
式 防 火 圾 在 安全 体系 方面 的 一 个 完善 。 

(3) 中 心 管理 系统 〈Central Management System ) 。 这 是 分 布 式 防火 墙 管理 器 软件 ， 负 责 
总 体 安 全 策略 的 策划 、 管 理 、 分 发 及 日 志 的 汇总 。 提 高 了 防火 墙 的 安全 防护 灵活 性 ， 同 时 具备 
高 可 管理 性 。 


3. 分 布 式 防火 墙 的 主要 特点 


分 布 式 防火 墙 具 有 如 下 特点 ; 

(1) 主机 驻 留 。 分 布 式 防火 墙 的 最 重要 特征 是 驻 留 在 被 保护 的 主机 上 , 该 主机 以 外 的 网 络 ， 
不 管 是 处 在 网 络 内 部 还 是 网 络 外 部 都 认为 是 不 可 信任 的 ， 因 此 可 以 针对 该 主机 上 运行 的 具体 应 
用 和 对 外 提供 的 服务 设 定 针对 性 很 强 的 安全 策略 。 使 得 安全 策略 不 仅仅 停留 在 网 络 与 网 络 之 
间 ， 而 是 把 安全 策略 推广 延伸 到 每 个 网 络 未 端 

(2) 嵌入 操作 系统 内 核 。 这 主要 是 针对 纯 软件 式 的 分 布 式 防火 墙 而 言 的 。 操 作 系统 自身 存 
在 许多 安全 漏洞 是 众所周知 的 。 纯 软件 式 的 分 布 式 主机 防火 墙 也 运行 在 主机 上 ， 所 以 其 运行 机 
制 是 主机 防火 墙 的 关键 技术 之 一 。 为 自身 的 安全 和 彻底 堵 住 操作 系统 的 漏洞 ， 主 机 防火 墙 的 安 
全 监测 核心 引擎 要 以 嵌入 操作 系统 内 核 的 形态 运行 ， 直 接 接管 网 卡 ， 把 所 有 数据 包 进行 检查 后 
再 提交 操作 系统 。 本 

(3) 安全 策略 的 统一 管理 与 部 署 。 针 对 桌面 应 用 的 主机 防火 墙 安全 策略 由 整个 系统 的 管理 
员 统一 安排 和 设置 , 除了 对 该 桌面 机 起 到 保护 作用 外 , 也 可 以 对 该 桌面 机 的 对 外 访问 加 以 控制 ， 
并 且 这 种 安全 机 制 是 桌面 机 的 使 用 者 不 可 见 和 不 可 改动 的 。 主 机 防火 墙 、 网 络 防火 墙 、 统 一 的 
安全 策略 管理 中 心 三 者 共同 构成 一 个 面向 企业 级 客户 的 整体 安全 防护 系统 中 不 可 分 割 的 部 分 ， 
整个 系统 的 安全 检查 机 制 分 散布 置 在 整个 分 布 式 防火 墙 体系 中 。 


5.4.3 ”内 部 防火 墙 系统 


防火 场 一 般 位 于 网 络 边界 ， 所 以 又 称 为 边界 防火 墙 。 但 是 现在 的 网 络 内 部 安全 形势 也 不 容 
乐观 ， 于 是 防火 擂 的 安全 防护 职责 也 束 由 外 同 内 渗透 了 ， 一 些 防火 场 设备 开发 商 就 专门 针对 内 
网 安全 控制 需求 而 开发 了 专用 于 内 网 的 防火 墙 产 品 ， 使 得 防火 墙 的 应 用 更 加 广泛 。 


1. 内 部 防火 墙 规 则 


内 部 防火 场 监视 外 围 区 域 和 信任 的 内 部 区 域 之 间 的 通信 。 由 于 这 些 网 络 之 间 的 通信 类 型 和 
数据 流 的 复杂 性 ， 内 部 防火 墙 的 技术 要 求 比 外 围 防火 墙 的 技术 要 求 更 加 复杂 。 通 常 ， 内 部 防火 
墙 在 默认 情况 下 ， 或 者 通过 设置 需要 遵循 以 下 规则 : 

。 办 认 情况 下 ， 阻 止 所 有 数据 包 。 

。 在 外 围 接口 上 ， 阻 止 看 起 来 好 像 来 自 内 部 瑟 地 址 的 传 入 数据 包 ， 以 阻止 欺骗 。 

。 在 内 部 接口 上 ， 阻 止 看 起 来 好 像 来 自 外 部 瑟 地 址 的 传 出 数据 包 ， 以 限制 内 部 攻击 。 
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e。 人 允许 从 内 部 DNS 服务 器 到 DNS 解析 程序 Bastion 主机 〈 堡 垒 主机 ) 的 基于 UDP 的 查 
询 和 啊 应 。 

e 人 允许 从 DNS 解析 程序 Bastion 主机 到 内 部 DNS 服务 器 的 基于 UDP 的 查询 和 响应 。 

e。 人 允许 从 内 部 DNS 服务 器 到 DNS 解析 程序 Bastion 主机 的 基于 TCP 的 查询 ， 包 括 对 这 
些 查询 的 响应 。 

e。 人 允许 从 DNS 解析 程序 Bastion 主机 到 内 部 DNS 服务 器 的 基于 TCP 的 查询 ， 包 括 对 这 
些 查询 的 响应 。 

e。 人 允许 DNS 广告 商 Bastion 主机 和 内 部 DNS 服务 器 主机 之 间 的 区 域 传 输 。 

e 人 允许 从 内 部 SMTP 邮件 服务 器 到 出 站 SMTP Bastion 主机 的 传 出 邮件 。 

e。 人 允许 从 入 站 SMTP Bastion 主机 到 内 部 SMTP 邮件 服务 器 的 传 入 邮件 。 

e。 人 允许 来 自 VPN 服务 器 后 端的 通信 到 达 内 部 主机 并 且 人 允许 响应 返回 到 VPN 服务 器 。 

e。 人 允许 验证 通信 到 达 内 部 网 络 上 的 RADIUS 服务 器 并 且 人 允许 响应 返回 到 VPN 服务 器 。 

e。 来 自 内 部 客户 端的 所 有 出 站 Web 访问 将 通过 代理 服务 器 ， 并 且 响 应 将 返回 客户 端 。 

e。 在 外 围 域 和 内 部 域 的 网 段 之 间 文 持 Windows Server 2000/2003 域 验证 通信 。 

e。 ”至少 文 持 五 个 网 段 ， 在 所 有 加 入 的 网 段 之 间 执 行 数据 包 的 状态 检查 〈 线 路 层 防火 
墙 一 一 第 3 层 和 第 4 层 ) 。 

e。 支持 高 可 用 性 功能 ， 如 状态 故障 转移 。 

e。 在 所 有 连接 的 网 段 之 间 路 由 通信 ， 而 不 使 用 网 络 地 址 转换 。 

Bastion 主机 是 位 于 外 围 网 络 中 的 服务 器 ， 回 内 部 和 外 部 用 户 提供 服务 ， 包 括 Web 服务 器 、 

E-mail 邮件 服务 器 、FTP 服务 器 和 VPN 服务 器 等 需要 为 公众 提供 服务 的 服务 器 。 


2. 内 部 防火 墙 的 可 用 性 需求 


内 部 防火 寺 的 应 用 环境 与 传统 的 边界 防火 墙 不 太一 样 ， 所 需 的 策略 规则 也 不 一 样 ， 因 此 对 
内 部 防火 墙 的 可 用 性 要 求 也 有 所 区 别 。 基 于 人 硬件 的 防火 墙 通常 在 专用 的 人 硬件 平台 上 运行 特殊 编 
制 的 代码 ， 是 基于 它们 可 以 处 理 的 连接 个 数 和 运行 的 软件 的 复杂 性 来 衡量 的 。 基 于 软件 的 防火 
播 也 可 以 根据 并 发 连接 的 数量 和 防火 墙 软 件 的 复杂 程度 进行 配置 。 同 时 ， 还 应 该 考虑 可 能 在 防 
火 墙 服 务 器 上 运行 的 其 他 软件 ， 如 负载 均衡 和 VPN 软件 。 此 时 ， 可 能 就 需要 考虑 同上 和 癌 外 
调整 防火 寺 的 方法 了 ， 如 通过 添加 附加 处 理 器 、 内 存 和 网 卡 增加 系统 的 能 力 ， 以 及 使 用 多 系统 
和 负载 均衡 来 分 担 防火 寺 任 务 。 目 前 一 些 企业 级 防火 墙 产品 还 利用 对 称 多 重 处 理 〈SMP) 来 提 
高 性 能 ， 就 像 企 业 级 服务 器 一 样 。Windows Server 2003 的 网 络 负载 均衡 服务 可 以 为 一 些 软件 防 
火 均 产品 提供 容错 、 高 可 用 性 、 高 效率 ， 但 相 比 硬件 的 负载 均衡 方案 来 说 要 逊色 不 少 。 

在 内 部 防火 场 方 案 中 ， 根 据 具 体 的 实际 需求 ， 可 以 采用 不 同 的 防火 墙 系统 配置 方案 ， 如 可 
以 是 单一 无 见 余 组 件 的 防火 场 ， 也 可 以 是 单一 有 宛 余 组 件 的 ， 还 可 以 是 合并 了 某 些 类 型 的 故障 
转移 和 负载 均衡 机 制 的 容 铬 防火 寺 集 。 


国 oo 国明 网 络 规划 设计 师 教程 (第 2 版 ) 


3. 内 部 容错 防火 场 集 配置 


在 实现 内 部 容错 防火 墙 集 经常 称 为 群集 ) 时 ， 有 “主动 /被 动 内 部 容错 防火 墙 集 ”和 “ 主 
动 /主动 内 部 容错 防火 墙 集 ” 两 种 不 同 的 配置 方法 ， 下 面 分 别 予 以 介绍 。 

1) 主动 /被 动 内 部 容错 防火 墙 集 

在 主动 /被 动 内 部 容错 防火 墙 集 中 ， 一 个 设备 〈 也 称 为 活动 节点 ) 将 处 理 所 有 通信 ， 而 另 一 
个 设备 〈 被 动 节点 ) 既 不 转发 通信 也 不 执行 筛选 ， 只 是 保持 活动 ， 监 视 主动 节点 的 状态 。 这 类 
似 于 服务 器 双 机 容错 方案 中 的 “ 冷 备 份 ”方式 。 

通常 ， 在 这 种 容错 方式 中 ， 每 个 节点 都 传达 其 可 用 性 和 到 其 伙伴 节点 的 连接 状态 。 此 通信 
经 常 称 为 检测 信号 〈 服 务 器 容错 中 称 之 为 “心跳 ”) ， 每 个 系统 每 秒 向 其 他 系统 发 几 次 检测 信 
号 以 确保 这 些 连 接 正 在 由 伙伴 节点 进行 处 理 。 如 果 被 动 节点 没有 接收 到 来 自主 动 节点 的 检测 信 
号 的 时 间 超 过 特定 的 或 者 由 用 户 设 定 的 间隔 ， 说 明 主动 节点 已 经 失败 ， 然 后 被 动 节点 将 承担 主 
动 节点 的 角色 。 

主动 /被 动 内 部 容错 防火 墙 集 的 优点 包括 以 下 几 个 方面 : 

(1) 配置 简单 。 此 配置 的 设置 比 后 面 将 要 介绍 的 “主动 /主动 内 部 容错 防火 墙 集 ” 方 式 要 
简单 ， 因 为 任何 时 候 只 有 一 个 网 络 路 径 是 活动 的 。 

(2) 可 预测 故障 转移 负载 。 因 为 在 故障 转移 时 ， 整 个 通信 和 负载 将 切换 到 被 动 节点 上 ， 因 此 
需要 被 动 节点 管理 的 通信 可 以 很 容易 地 进行 规划 。 

主动 /被 动 内 部 容错 防火 墙 集 的 缺点 则 是 所 有 冷 备份 方式 共有 的 ， 就 是 低 利 用 率 ,因为 在 正 
常 工作 和 不 增加 吞吐 量 期 间 ， 被 动 节点 对 网 络 不 提供 任何 有 用 的 功能 ， 在 投资 上 是 一 种 浪费 。 

2) 主动 / 主动 内 部 容错 防火 墙 集 

在 主动 / 主动 内 部 容错 防火 墙 集中 ,两 个 或 多 个 节点 主动 侦 听 发 送 到 每 个 节点 共享 的 虚拟 
IP 地 址 的 所 有 请 求 ， 与 服务 器 双 机 容错 方案 中 的 “ 热 备 份 ”类 似 。 

在 这 种 容错 方式 中 ， 负 载 将 通过 容错 机 制 唯一 使 用 的 算法 或 者 通过 基于 静态 用 户 的 配置 在 
节点 之 间 进 行 分 布 。 无 论 使 用 哪 种 方法 ， 结 果 都 是 每 个 节点 主动 地 筛选 不 同 的 通信 。 在 一 个 节 
点 失败 的 事件 中 ， 仍 存活 的 节点 将 分 发 已 失败 的 节点 曾 承担 的 负载 的 处 理 。 

主动 / 主动 内 部 容错 防火 墙 集 的 优点 包括 以 下 几 个 方面 : 

(1) 效率 高 : 由 于 所 有 防火 墙 都 向 网 络 提供 服务 ， 因 此 它们 的 利用 率 更 高 。 

(2) 吞吐 量 大 : 在 正常 操作 期 间 ， 与 “主动 / 被 动 内 部 容错 防火 墙 集 ” 的 配置 相 比 ， 此 配 
置 可 以 处 理 更 高 级 别 的 通信 量 ， 因 为 所 有 的 防火 墙 可 以 同时 向 网 络 提 供 服务 。 

主动 / 主动 内 部 容错 防火 墙 集 的 缺点 包括 以 下 几 个 方面 : 

(1) 可 能 超 负 荷 ， 如 果 一 个 节点 发 生 故 障 ， 剩 余 节 点 上 的 硬件 资源 可 能 不 足以 处 理 整 体 的 
吞吐 量 要 求 。 相 应 地 对 此 进行 规划 ， 了 解 由 于 在 一 个 节点 失败 时 ， 仍 存活 的 节点 将 承担 附加 的 
工作 量 ， 由 此 可 能 会 导致 性 能 下 降 ， 这 很 重要 。 

(2) 复杂 程度 增加 : 由 于 网 络 通信 可 以 通过 多 个 路 由 ， 因 此 网 络 配置 和 故障 排除 可 能 更 为 


复杂 。 
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4. 内 部 防火 墙 系统 设计 的 其 他 因素 要 求 


在 前 面 我 们 对 内 部 防火 墙 系统 设计 的 可 用 性 方面 的 要 求 做 了 详细 介绍 。 除 此 之 外 ， 内 部 防 

火 墙 系统 设计 还 需要 考虑 许多 其 他 因素 , 如 安全 性 、 可 伸缩 性 (也 就 是 通常 所 说 的 “可 扩展 性 ”)、 
合 能 力 和 所 支持 的 标准 等 。 下 面 分 别 予 以 介绍 。 

1) 安全 性 

防火 墙 产品 的 安全 性 极为 重要 。 虽 然 没 有 防火 墙 安全 性 的 行业 标准 ， 但 是 与 供应 商 无 关 的 
国际 计算 机 安全 协会 (ICSA) 正在 进行 一 个 认证 计划 , 旨 在 测试 已 面市 的 防火 墙 产品 的 安全 性 。 
ICSA 将 对 现在 市 场 上 可 用 的 大 量 防火 墙 产品 进行 测试 。 

必须 确保 防火 墙 能 够 达到 所 需 的 安全 标准 ， 实 现 此 目标 的 一 种 方式 是 选择 达到 ICSA 认证 
的 防火 墙 。 此 外 ， 应 该 留 所 选择 防火 墙 的 跟踪 记录 。Intemet 上 有 一 些 安全 漏洞 数据 库 ， 应 当 尽 
早 查看 这 些 数 据 库 ， 以 获得 有 关 正 在 考虑 购买 的 产品 的 漏洞 信息 。 除 了 确定 要 购买 的 产品 的 漏 
洞 数 量 和 严重 程度 外 ， 还 应 评估 供应 商 对 已 暴露 的 漏洞 的 应 对 措施 。 

2) 可 伸缩 性 

防火 墙 的 可 伸缩 性 主要 由 所 使 用 的 设备 的 性 能 特征 决定 。 有 两 种 实现 可 伸缩 性 的 基本 
方式 : 

(1) 垂直 扩展 〈 向 上 扩展 ) 。 所 谓 “ 向 上 扩展 ”是 指 通过 增加 单一 设备 的 硬件 配置 数量 等 
手段 实现 的 扩展 。 无 论 防火 墙 是 硬件 设备 还 是 在 服务 器 上 运行 的 软件 解决 方案 ， 通 过 增加 内 存 
数量 、CPU 处 理 能 力 以 及 网 络 接口 的 吞吐 量 都 可 以 获得 各 种 不 同 程度 的 可 伸缩 性 。 但 是 ， 就 可 
以 垂直 伸缩 的 程度 来 说 ， 每 个 设备 或 服务 器 都 有 一 定 的 上 限 。 例 如 ， 如 果 购 买 了 一 个 具有 四 个 
CPU 插 槽 的 服务 器 并 且 先 使 用 了 两 个 ， 那 么 仅 可 再 添加 两 个 CPU。 

(2) 水 平 扩展 《向 外 扩展 ) 。 所 谓 “ 向 外 扩展 ”是 指 通过 硬件 性 能 提高 或 者 多 个 不 同 设 
备 的 集群 连接 等 手段 实现 的 扩展 。 当 服务 器 垂直 方向 上 的 扩展 到 达 极 限时 ， 则 需要 进行 水 平 
扩展 。 大 多 数 防 火 墙 基于 硬件 的 和 基于 软件 的 ) 都 可 以 通过 使 用 某 种 形式 的 负载 均衡 来 降 
低 负载 。 在 这 种 情况 下 ， 将 多 个 服务 器 组 成 一 个 集群 ， 对 于 网 络 上 的 客户 端 来 说 ， 它 们 就 像 
是 一 个 服务 器 。 

增加 硬件 防火 墙 容量 可 能 很 难 。 但 是 , 一 些 硬件 防火 墙 制造 商 提供 了 减少 负载 的 解决 方案 ， 
可 以 将 设备 进行 堆 琶 ， 使 之 作为 单个 、 负 载 均衡 的 单元 运行 。 而 一 些 基 于 软件 的 防火 墙 设计 为 
通过 使 用 多 个 处 理 器 来 增加 容量 。 

多 重 处 理 是 由 基础 操作 系统 控制 的 ， 防 火 墙 软件 不 需要 了 解 附加 的 处 理 器 ， 除 非 防火 墙 软 
件 可 以 在 多 任务 方式 下 操作 ， 和 否则 可 能 无 法 实现 多 个 处 理 器 的 全 部 优势 。 这 种 方法 允许 在 单一 
或 元 余 设 备 上 进行 伸缩 ， 通 常 必须 符合 在 制造 时 内 置 的 硬件 限制 。 大 多 数 设备 类 防火 墙 是 按 设 
备 可 以 处 理 的 并 发 连接 的 个 数 来 分 类 的 。 如 果 连 接 要 求 超过 了 设备 的 固定 比例 的 模型 可 用 的 连 
接 ， 硬 件 设备 经 常 需要 进行 替换 。 

如 前 所 述 ， 容 错 可 以 内 置 在 防火 墙 服务 器 的 操作 系统 中 。 对 于 硬件 防火 墙 而 言 ， 要 实现 容 
错 功能 则 可 能 要 花费 额外 的 成 本 。 
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合 能 

合意 味 着 将 防火 墙 服务 合并 到 另 一 个 设备 中 ， 或 者 将 其 他 服务 合并 到 此 防火 墙 中 。 整 合 
的 好 处 有 以 下 几 个 方面 : 

(1) 较 低 的 购买 价格 。 例 如 ， 在 路 由 器 中 通过 将 防火 墙 服务 合并 到 另 一 个 服务 中 ， 节 省 了 
便 件 设备 的 成 本 ， 虽 然 仍然 必须 购买 防火 墙 软件 。 同 样 ， 如 果 可 以 将 其 他 服务 合并 到 防火 墙 中 ， 
就 可 以 节省 附加 硬件 的 成 本 。 

(2) 减少 库存 和 管理 成 本 。 硬 件 设备 数目 的 减少 可 以 减少 操作 成 本 。 由 于 需要 较 少 的 硬件 
升级 ， 布 线 已 经 简化 ， 管 理 变 得 更 简单 。 

(3) 更 高 的 性 能 。 根 据 所 合并 的 内 容 ， 可 能 会 提升 性 能 。 例 如 ， 将 Web 服务 器 缓存 合并 到 
防火 墙 中 可 能 会 减少 附加 设备 ， 并 且 服 务 将 能 高 速 对 话 而 不 用 通过 以 太 网 电费 。 

在 防火 墙 系统 中 ， 可 以 采取 的 合并 方式 包括 以 下 两 种 : 

(1) 将 防火 墙 服务 添加 到 路 由 器 中 。 

大 多 数 路 由 器 可 以 将 防火 墙 服 务 合 并 到 其 中 。 此 防火 墙 服务 的 功能 在 低 成 本 路 由 器 中 可 能 
很 简单 ， 但 是 高 端 路 由 吉 通 常 具有 非常 有 用 的 防火 墙 服务 。 拥 有 一 个 将 内 部 网 络 中 的 以 太 网 分 
段 链接 在 一 起 的 路 由 器 ， 通 过 将 防火 墙 合并 到 其 中 ， 可 以 节省 成 本 。 即 使 实现 了 特定 的 防火 墙 
设备 ， 但 是 在 路 由 器 中 实现 一 些 防 火 墙 功能 仍然 可 能 有 助 于 限制 内 部 入 侵 。 

(2) 将 防火 墙 服务 添加 到 内 部 交换 机 中 。 

可 以 将 使 用 的 内 部 交换 机 作为 一 个 单元 添加 到 内 部 防火 墙 中 ， 从 而 减少 成 本 并 且 提 高 性 

。 在 考虑 将 其 他 设备 合并 到 提供 防火 墙 服务 的 相同 服务 器 或 设备 中 时 ， 必 须 确保 使 用 给 定 的 
撒 Ss 所 虹 拓 的 可 其 | 安全 性 或 者 可 管理 性 。 性 能 方面 的 考虑 也 很 重要 ， 因 为 由 附加 
的 服务 生成 的 负载 将 降低 防火 墙 服务 的 性 能 

将 服务 合并 到 提供 防火 墙 服务 的 相同 设备 或 服务 器 中 的 替换 方法 ， 是 将 防火 墙 硬 件 设备 作 
为 一 个 单元 合并 到 交换 机 中 。 这 一 方法 的 成 本 通常 比 各 种 类 型 的 独立 防火 墙 要 低 ， 并 可 以 利用 
交换 机 的 可 用 性 功能 ， 如 双 电 源 。 这 种 配置 也 较 容易 管理 ， 因 为 它 不 涉及 单独 的 设备 。 此 外 使 
用 这 种 解决 方案 的 系统 通常 运行 较 快 ， 因 为 它 使 用 交换 机 中 的 总 线 ， 比 使 用 外 部 线路 更 快 。 

4) 支持 的 标准 

使 用 Internet 协议 版 本 4 〈IPv4) 的 大 多 数 nternet 协议 可 以 由 防火 墙 来 进行 保护 。 这 包括 
较 低 级 别 的 协议 〈 如 TCP 和 UDP) 和 较 高 级 别 的 协议 〈 如 HITP、STMP 和 FTP) 。 应 该 检 得 
在 考虑 之 中 的 防火 墙 产 品 以 确保 它 支 持 所 需 的 通信 类 型 。 某 些 防火 墙 还 可 以 解释 GRE， 这 是 某 
些 VPN 实现 中 使 用 的 点 对 点 隧道 协议 (PPTP) 的 封装 协议。 

一 些 防火 墙 具 有 适用 于 协议 , 如 HITP、SSL、DNS、FTP、SOCKSv4、RPC、SMTP、H.323 
和 邮局 协议 (POP) 的 内 置 应 用 程序 层 筛选 器 。 即 使 当前 正在 使 用 IJPv4， 还 应 该 考虑 将 来 使 用 
TCP/AP 协议 和 IPv6， 以 及 这 是 否 应 该 是 一 个 对 所 有 防火 墙 的 强制 要 求 。 

以 上 介绍 了 内 部 网 络 防火 墙 产品 的 选择 过 程 。 本 过 程 覆 盖 了 防火 墙 设计 的 所 有 方面 ， 包 括 
确定 一 个 解决 方案 所 需 的 各 种 评估 和 分 类 过 程 。 但 事实 上 没有 任何 防火 墙 是 百分之百 安全 的 。 
本 节 中 人 简要 列 出 的 防火 墙 策略 和 设计 过 程 只 应 被 看 作 是 整个 安全 策略 的 一 部 分 。 如 果 在 网 络 的 
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其 他 部 分 中 存在 弱点 ， 那 么 强大 的 防火 场 的 价值 将 是 有 限 的 。 必 须 将 安全 策略 应 用 到 网 络 的 每 
个 组 件 中 ， 并 且 必 须 为 每 个 组 件 定义 针对 环境 中 国有 风险 的 安全 策略 。 


5.4.4 ”访问 控制 技术 


访问 控制 是 指 主体 依据 茶 些 控制 介 略 或 权限 对 客体 本 身 或 是 其 资源 进行 的 不 同 授权 访问 。 
访问 控制 包括 三 个 要 素 ， 即 主体 、 客 体 和 控制 策略 。 访 问 控制 模型 是 一 种 从 访问 控制 的 角度 出 
发 ， 描 述 安 全 系统 ， 建 立 安全 模型 的 方法 。 

主体 〈Subject) : 是 可 以 对 其 他 实体 施加 动作 的 主动 实体 ， 记 为 S。 有 时 我 们 也 称 为 用 户 
(CUser) 或 访问 者 《被 授权 使 用 计算 机 的 人 员 ) ， 记 为 U。 主 体 的 含义 是 广泛 的 ， 可 以 是 用 户 所 
在 的 组 织 《〈“ 以 后 我 们 称 为 用 户 组 ) 、 用 户 本 身 ， 也 可 以 是 用 户 使 用 的 计算 机 终端 、 卡 机 、 手 持 
终端 〈 无 线 ) 等 ， 甚 至 可 以 是 应 用 服务 程序 或 进程 。 

客体 〈Object) : 是 接受 其 他 实体 访问 的 被 动 实体 ， 记 为 O0。 客 体 的 概念 也 很 广泛 ， 凡 是 
可 以 被 操作 的 信息 、 资 源 、 对 象 都 可 以 认为 是 客体 。 在 信息 社会 中 ， 客 体 可 以 是 信息 、 文 件 、 
记录 等 的 集合 体 ， 也 可 以 是 网 路 上 的 便 件 设施 ， 无 线 通信 中 的 终端 ， 甚 至 一 个 客体 可 以 包含 万 
外 一 个 客体 。 

控制 策略 : 是 主体 对 客体 的 操作 行为 集 和 约束 条 件 集 ， 记 为 KS。 人 简单 来 讲 ， 控 制 策略 是 
主体 对 客体 的 访问 规则 集 ， 这 个 规则 集 直 接 定义 了 主体 可 以 对 客体 的 作用 行为 和 客体 对 主体 的 
条 件 约束 。 控 制 策略 体现 了 一 种 授权 行为 ， 也 就 是 客体 对 主体 的 权限 允许 ， 这 种 允许 不 超越 规 
则 集 ， 由 其 给 出 。 

访问 控制 的 实现 首先 要 考虑 对 合法 用 户 进行 验证 ， 然 后 是 对 控制 策略 的 选用 与 管理 ， 节 后 
要 对 非法 用 户 或 是 越权 操作 进行 管理 。 所 以 ， 访 问 控 制 包括 认证 、 控 制 俩 略 实现 和 审计 三 方面 
的 内 容 。 

(1) 认证 。 主 体 对 客体 的 识别 认证 和 客体 对 主体 的 检验 认证 。 主 体 和 客体 的 认证 关系 是 相 
互 的 ， 当 一 个 主体 受到 另外 一 个 客体 的 访问 时 ， 这 个 主体 也 就 变 成 了 客体 。 一 个 实体 可 以 在 茶 
一 时 刻 是 主体 ， 而 在 另 一 时 刻 是 客体 ， 这 取决 于 当前 实体 的 功能 是 动作 的 执行 者 还 是 动作 的 被 
执行 者 。 

《2) 控制 策略 的 具体 实现 。 如 何 设 定 规则 集合 从 而 确保 正常 用 户 对 信息 资源 的 合法 使 用 ， 
既 要 防止 非法 用 户 ， 也 要 考虑 敏感 资源 的 泄漏 ， 对 于 合法 用 户 而 言 ， 更 不 能 越权 行使 控制 策略 
所 赋予 其 权利 以 外 的 功能 。 

(3) 审计 。 审 计 具 有 重要 意义 ， 比 如 客体 的 管理 者 ， 即 管理 员 有 操作 赋予 权 ， 他 有 可 能 小 
用 这 一 权利 ， 这 是 无 法 在 策略 中 加 以 约束 的 ， 因 此 必须 对 这 些 行 为 进行 记录 ， 从 而 达到 威慑 和 
保证 访问 控制 正常 实现 的 目的 。 


1. 访问 控制 的 实现 技术 


建立 访问 控制 模型 和 实现 访问 控制 都 是 抽象 和 复杂 的 行为 ， 实 现 访问 的 控制 不 仅 要 保证 授 
权 用 户 使 用 的 权限 与 其 所 拥有 的 权限 对 应 ， 制 止 非 授 权 用 户 的 非 授权 行为 ， 还 要 防止 敏感 信息 
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的 交叉 感染 。 为 了 便于 讨论 这 一 问题 ， 我 们 以 文件 的 访问 控制 为 例 ， 对 访问 控制 的 实现 做 具体 
说 明 。 通 常用 户 访问 信息 资源 《文件 或 是 数据 库 ) ， 可 能 的 行为 有 读 、 写 和 管理 。 为 方便 起 见 ， 
用 Read 或 是 R 表示 读 操作 ， 用 Write 或 是 W 表示 写 操 作 ， 用 Own 或 是 用 O 表示 管理 操作 。 

1) 访问 控制 矩阵 

访问 控制 矩阵 (Access Control Matrix，ACM) 是 通过 和 矩阵 形式 表示 访问 控制 规则 和 授权 
用 户 权 限 的 方法 。 对 每 个 主体 而 言 ， 都 拥有 对 哪些 客体 的 哪些 访问 权限 ;而 对 客体 而 言 ， 又 有 
哪些 主体 对 它 可 以 实施 访问 。 将 这 种 关联 关系 加 以 曾 述 ， 就 形成 了 控制 矩阵 。 其 中 ， 特 权 用 户 
或 特权 用 户 组 可 以 修改 主体 的 访问 控制 权限 。 

访问 控制 矩阵 是 以 主体 为 行 索引 ， 以 客体 为 列 索引 的 和 矩阵， 矩阵 中 的 每 一 个 元 聚 表示 一 组 
访问 方式 ， 是 才干 访问 方式 的 集合 。 和 矩阵 中 第 莽 行 第 7 了 列 的 元 素 记 录 痢 第 个 主体 $ 可 以 执行 
的 对 第 7 个 客体 9; 的 访问 方式 ， 比 如 My 表示 &3 可 以 对 9Q) 进行 谈 和 写 访 问 。 

访问 控制 矩阵 的 实现 很 易于 理解 ， 但 是 查找 和 实现 起 来 有 一 定 的 难度 ， 而 且 ， 如 宁 用 户 和 
文件 系统 要 管理 的 文件 很 多 ， 那 么 访问 控制 矩阵 将 会 成 几何 级 数 增长 。 因 为 在 大 型 系统 中 访问 
控制 矩阵 很 大 而 且 其 中 会 有 很 多 衬 值 ， 所 以 目前 使 用 的 实现 技术 都 不 是 保存 整个 访问 控制 窍 
阵 ， 而 是 基于 访问 控制 矩阵 的 行 或 者 列 来 保存 信息 。 

2) 访问 控制 表 

访问 控制 表 ACL (Access Control List) 是 目前 最 流行 、 使 用 最 多 的 访问 控制 实现 技术 。 每 
个 客体 有 一 个 访问 控制 表 ， 是 系统 中 每 一 个 有 权 访 问 这 个 客体 的 主体 的 信息 。 这 种 实现 技术 实 
际 上 是 按 列 保存 访问 控制 矩阵 。 访 问 控制 表 提 供 了 针对 客体 的 方便 的 查询 方法 ， 通 过 得 询 一 个 
客体 的 访问 控制 表 ， 很 容易 决定 某 一 个 主体 对 该 客体 的 当前 访问 权限 。 删 除 客 体 的 访问 权限 也 
很 方便 ， 把 该 客体 的 访问 控制 表 整 个 奉 换 为 空 表 即 可 。 但 是 用 访问 控制 表 来 得 询 一 个 主体 对 上 所 
有 客体 的 所 有 访问 权限 是 很 困难 的 ， 必 须 得 询 系统 中 所 有 客体 的 访问 控制 表 ， 来 获得 其 中 每 一 
个 与 该 主体 有 关 的 信息 。 类 似 地 ， 删 除 一 个 主体 对 所 有 客体 的 所 有 访问 权限 也 必须 得 询 所 有 客 
体 的 访问 控制 表 ， 删 除 与 该 主体 相关 的 信息 。 

3) 能 力 表 

能 力 表 〈Capability Lists) 对 应 于 访问 控制 表 ， 这 种 实现 技术 实际 上 是 按 行 保存 访问 控制 
和 矩阵。 每 个 主体 有 一 个 能 力 表 ， 是 该 主体 对 系统 中 每 一 个 客体 的 访问 权限 信息 。 使 用 能 力 表 实 
现 的 访问 控制 系统 可 以 很 方便 地 得 询 某 一 个 主体 的 所 有 访问 权限 ， 只 需要 过 有 历 这 个 主体 的 能 
表 即 可 。 然 而 查询 对 某 一 个 客体 具有 访问 权限 的 主体 信息 就 很 困难 了 ， 必 须 查 询 系统 中 所 有 主 
体 的 能 力 表 。20 世纪 70 年 代 ， 很 多 操作 系统 的 访问 控制 安全 机 制 是 基于 能 力 表 实现 的 ， 但 并 
没有 取得 商业 上 的 成 功 ， 现 代 的 操作 系统 大 多 改 用 基于 访问 控制 表 的 实现 技术 ， 只 有 少数 实验 
性 的 安全 操作 系统 使 用 基于 能 力 表 的 实现 技术 。 在 一 些 分 布 式 系统 中 ， 也 使 用 了 能 力 表 和 访问 
控制 表 相 结合 的 方法 来 实现 其 访问 控制 安全 机 制 。 

4) 授权 关系 表 

访问 控制 矩阵 也 有 既 不 对 应 于 行 也 不 对 应 于 列 的 实现 技术 , 那 就 是 对 应 访问 窍 阵 中 每 一 个 
非 空 元 素 的 实现 技术 一 一 授权 关系 表 (Authorization Relations) 。 授 权 关 系 表 的 每 一 行 〈 或 者 
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说 元 组 ) 惑 是 访问 控制 矩阵 中 的 一 个 非 空 元 素 ， 是 某 一 个 主体 对 应 于 某 一 个 客体 的 访问 权限 
信息 。 如 朱 授 权 关 系 表 按 主体 排序 ， 碍 询 时 惑 可 以 得 到 能 力 表 的 效率 ， 如 果 按 客体 排序 ， 碍 
询 时 赋 可 以 得 到 访问 控制 表 的 效率 。 安 全 数据 库 系统 通 音 用 授权 关系 表 来 实现 其 访问 控制 安 
全 机 制 |。 


2. 访问 控制 表 


ACL 适用 于 所 有 的 被 路 由 协议 ， 如 下、IPX、AppleTalk 等 。ACL 的 定义 也 是 基于 每 一 种 
协议 的 。 如 果 路 由 器 接口 配置 成 支持 三 种 协议 (IP、AppleTalk 以 及 IPX) 的 情况 ， 那 么 ， 用 户 
必须 定义 三 种 ACL 来 分 别 控制 这 三 种 协议 的 数据 包 。 

1) ACL 的 作用 

ACL 可 以 限制 网 络 流量 、 提 高 网 络 性 能 。 例 如 ，ACL 可 以 根据 数据 包 的 协议 ， 指 定数 据 
包 的 优先 级 。 

ACL 提供 对 通信 流量 的 控制 手段 。 例 如 ，ACL 可 以 限定 或 简化 路 由 更 新 信息 的 长 度 ， 从 
而 限制 通过 路 由 器 茶 一 网 段 的 通信 流量 。 

ACL 是 提供 网 络 安全 访问 的 基本 手段 。 例 如 ，ACL 人 允许 主机 A 访问 某 资 源 网 络 ， 而 拒绝 
主机 也 访问。 

ACL 可 以 在 路 由 器 端口 处 决定 哪 种 类 型 的 通信 流量 被 转发 或 被 阻塞 。 例 如 ,用户 可 以 允许 
E-mail 通信 流量 被 路 由 ， 拒 绝 所 有 的 Telnet 通信 流量 。 

2) ACL 的 执行 过 程 

一 个 凯 口 执行 哪 条 ACL,， 这 需要 按照 列表 中 的 条 件 语句 执行 顺序 来 判断 。 如 果 一 个 数据 包 
的 报头 跟 表 中 茶 个 条 件 判断 语句 相 匹配 ， 那 么 后 面 的 语句 就 将 被 忽略 ， 不 再 进行 检查 。 当 不 匹 
配 时 ， 则 继续 匹配 下 一 条 语句 ， 如 果 所 有 的 ACL 判断 语句 都 不 匹配 ， 则 该 数据 包 将 视 为 被 拒 
绝 而 被 丢弃 〈 这 里 要 注意 ，ACL 不 能 对 本 路 由 器 产生 的 数据 包 进 行 控制 ) 。 

3) ACL 的 分 类 

目前 有 两 种 主要 的 ACL: 标准 ACL 和 扩展 ACL。 标 准 ACL 只 检查 数据 包 的 源 地 址 ; 扩 
展 ACL 婚检 查 数 据 包 的 源 地 址 ， 也 检查 数据 包 的 目的 地 址 、 协 议 类 型 、 端 口号 等 。 网 络 管理 
员 可 以 使 用 标准 ACL 阻止 来 自 某 一 网 络 的 所 有 通信 流量 ， 或 者 允许 来 自 某 一 特定 网 络 的 所 有 
通信 流量 。 扩 展 ACL 提供 了 更 广泛 的 控制 范围 ， 例 如 ， 网 络 管理 员 如 果 和 希望 做 到 “人 允许 外 来 
的 Web 通信 流量 通过 ， 拒 绝 外 来 的 FTP 和 Telnet 等 通信 流量 ”， 就 可 以 使 用 扩展 ACL。 


3. 访问 控制 的 模型 发 展 


访问 控制 安全 模型 一 般 包括 主体 、 客 体 ， 以 及 为 识别 和 验证 这 些 实体 的 子 系统 和 控制 实体 
间 访 问 的 参考 监视 匿 。 由 于 网 络 传输 的 需要 ， 访 问 控制 的 研究 发 展 很 快 ， 有 许多 访问 控制 模型 
被 提出 来 。 建 立 规范 的 访问 控制 模型 ， 是 实现 严格 访问 控制 策略 所 必须 的 。20 世纪 70 年 代 ， 
Harrison、Ruzzo 和 Ullman 提出 了 HRU 模型 。 接 着 ，Jones 等 人 在 1976 年 提出 了 Take-Grant 
模型 。 随 后 ，1985 年 美国 盏 方 提 出 可 信 计 算 机 系统 评估 准则 TCSEC， 其 中 描述 了 两 种 著名 的 
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访问 控制 模型 : 目 主 访问 控制 模型 (DAC) 和 强制 访问 控制 模型 (MAC) 。 基 于 角色 的 访问 控 
制 (RBAC) 由 Ferraiolo 和 Kuhn 在 1992 年 提出 的 。 考 虑 到 网 络 安全 和 传输 流 ， 基 于 对 象 和 基 
于 任务 的 访问 控制 又 被 提出 。 后 面 几 节 将 对 一 些 重要 模型 做 简要 阐述 。 


5.5 IDS 与 IPS 诛 理 及 应 用 


IDS〈JIntrusion Detection System，IDS) ， 即 入 侵 检 测 系 统 ， 是 依照 一 定 的 安全 策略 ， 通 过 
对 网 络 系统 中 软 、 硬 件 的 运行 状况 进行 监视 ， 尽 可 能 发 现 各 种 攻击 企图 、 攻 击 行 为 或 者 攻击 结 
果 ， 并 在 第 一 时 间 向 网 络 管理 员 发 出 警报 。IPS (Intrusion Prevention System，IPS) ， 即 入 侵 防 
御 系 统 ， 是 为 了 弥补 IDS 的 不 足 ， 除 了 发 出 警报 外 ，IPS 能 够 通过 丢 包 等 方式 ， 主 动 地 阻止 具 
备 攻 击 性 的 行为 。 


5.5.1 人 侵 检测 系统 概述 


1.IDS 的 定义 


为 了 确保 计算 机 网 络 安全 ， 必 须 建 立 一 整套 安全 防护 体系 ， 进 行 多 层次 、 多 手段 的 检测 和 
防护 。 入 侵 检 测 系 统 就 是 安全 防护 体系 中 重要 的 一 环 ， 它 所 具有 的 实时 性 、 动 态 检 测 和 主动 防 
御 等 特点 ， 弥 补 了 防火 场 等 静态 防御 工具 的 不 足 ， 能 够 及 时 识别 网 络 中 发 生 的 入 侵 行为 并 实时 
报警 。 

入 侵 检 测 系 统 是 一 种 主动 保护 目 己 ， 使 网 络 和 系统 免 遭 非法 攻击 的 网 络 安全 技术 ， 它 依照 
一 定 的 安全 策略 ， 对 网 络 、 系 统 的 运行 状况 进行 监视 ， 尽 可 能 发 现 各 种 攻击 企图 、 攻 击 行为 或 
攻击 结果 ， 以 保证 网 络 系统 资源 的 机 密 性 、 完 整 性 和 可 用 性 。 

入 侵 检 测 系统 是 对 防火 场 的 一 个 极其 有 益 的 补充 ， 我 们 做 一 个 形象 的 比喻 : 假如 防火 墙 是 
一 栋 大 楼 的 门 锁 ， 那 么 IDS 就 是 这 栋 大 楼 里 的 监视 系统 。 一 旦 小 偷 爬 窗 进 入 大 楼 ， 或 者 内 部 人 
员 有 越界 行为 ， 只 有 实时 监视 系统 才能 发 现 情况 并 发 出 警告 。 


2.IDS 的 作用 


入 侵 检 测 系 统 作 为 一 种 积极 主动 的 安全 防护 工具 ， 提 供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 
的 实时 防护 ,在 计算 机 网 络 和 系统 受到 危害 之 前 进行 报警 、 拦 截 和 啊 应 。 它 具有 以 下 主要 作用 : 

(1) 通过 检 调 和 记录 网 络 中 的 安全 违规 行为 ， 惩 罚 网 络 犯 菲 ， 防 止 网 络 入 侵 事 件 的 发 生 ; 

(2) 检测 其 他 安全 措施 未 能 阻止 的 攻击 或 安全 违规 行为 ; 

(3) 检测 墨客 在 攻击 前 的 探测 行为 ， 预 先 给 管理 员 发 出 警报 ; 

《4) 报告 计算 机 系统 或 网 络 中 存在 的 安全 威胁 ; 

(5) 提供 有 关 攻 击 的 信息 ， 帮 助 管 理 员 诊断 网 络 中 存在 的 安全 弱点 ， 利 于 其 进行 修补 ; 

6) 在 大 型 、 复 杂 的 计算 机 网 络 中 布置 入 侵 检测 系统 , 可 以 显著 提高 网 络 安全 管理 的 质量 。 
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3.IDS 的 组 成 


一 个 IDS 系统 通常 由 几 个 部 件 组 成 : 探测 器 〈Sensor) 、 分 析 器 〈Analyzer) 、 啊 应 单元 
(Response Units) 、 事 件数 据 库 〈Event Databases) 。 

事件 是 IDS 中 所 分 析 的 数据 的 统称 , 它 可 以 是 从 系统 日 志 、 应 用 程序 日 志 中 所 产生 的 信息 ， 
也 可 以 是 在 网 络 中 抓 到 的 数据 包 。 

探测 器 主要 负责 收集 数据 。 入 侵 检 测 的 第 一 步 就 是 收集 数据 ， 内 容 包 括 任何 可 能 包含 入 侵 
行为 线索 的 系统 数据 ， 比 如 网 络 数据 包 、 日 志文 件 和 系统 调用 记录 等 。 通 和 党 需要 在 计算 机 网 络 
系统 中 的 若干 个 不 同 的 关键 点 《不 同 网 段 和 不 同 主机 ) 收集 数据 ， 这 是 因为 入 侵 检 测 在 很 大 程 
度 上 依赖 于 收集 数据 的 正确 性 和 可 和 做 性 。 有 时 从 一 个 数据 源 来 的 数据 有 可 能 看 不 出 问题 ， 但 是 
从 几 个 数据 源 来 的 数据 的 不 一 致 却 是 可 疑 行 为 或 入 侵 的 最 好 标识 。 探 测 器 将 这 些 数据 收集 起 来 
后 ， 发 送 到 分 析 器 进行 处 理 。 

分 析 器 ， 又 称 分 析 部 件 ， 它 的 作用 是 分 析 从 探测 器 中 获得 的 数据 ， 主 要 包括 两 个 方面 的 作 
用 : 一 是 监控 进出 主机 和 网 络 的 数据 流 ， 看 是 否 存 在 对 系统 的 入 侵 行 为 ; 另 一 个 是 评估 系统 天 
键 资源 和 数据 文件 的 完整 性 ， 看 系统 是 否 已 经 遭受 了 入 侵 。 前 者 的 作用 是 在 入 侵 行 为 发 生 时 友 
现 它 ， 从 而 避免 遭受 攻击 ; 后 者 是 在 遭受 攻击 时 未 能 及 时 发 现 和 阻止 攻击 行为 ， 但 可 以 通过 攻 
击 行为 留 下 的 痕迹 了 解 攻击 行为 的 一 些 情况 ， 从 而 避免 再 次 遭受 攻击 ， 对 系统 资源 完整 性 的 检 
丛 也 有 利于 对 攻击 行为 进行 取证 。 

啊 应 单元 ， 又 称 控 制 台 部 件 ， 它 的 作用 是 对 分 析 所 得 结果 做 出 相应 的 动作 ， 或 者 是 报警 ， 
或 者 是 更 改 文 件 属性 ， 或 者 是 阻 断 网 络 连接 等 。 

事件 数据 库 ， 又 称 日 志 部 件 ， 存 放 的 是 各 种 中 间 数 据 ， 记 录 攻 击 的 基本 情况 。 


4. IDS 的 实现 技术 


根据 数据 来 源 和 系统 结构 的 不 同 ， 入 侵 检 测 系 统 可 以 分 为 基于 主机 、 基 于 网 络 和 混合 型 入 
侵 检 测 系统 三 类 。 

(1) 基于 主机 的 入 侵 检 测 系 统 (Host-based Intrusion Detection System，HIDS ) 通常 在 被 重 
点 检测 的 主机 上 运行 一 个 代理 程序 , 用 于 监视 、 检 测 对 于 主机 的 攻击 行为 (如 可 疑 的 网 络 连接 、 
系统 日 志 检 查 、 非 法 访问 等 ) ， 通 知 用 户 并 进行 啊 应 。HIDS 最 适合 配置 来 对 抗 内 部 的 威胁 ， 
因为 它 能 监视 并 响应 用 户 特 殊 的 行为 以 及 对 主机 文件 的 访问 行为 。 因 此 ， 它 保护 的 一 般 是 所 在 
的 系统 。 由 于 这 种 类 型 的 系统 依赖 于 审计 数据 或 系统 日 志 的 准确 性 和 完整 性 以 及 安全 事件 的 定 
义 ， 所 以 关 入 侵 者 设法 逃避 审计 或 进行 合作 入 侵 ， 则 基于 主机 的 检测 系统 承 会 骑 露 出 弱点 ， 特 
别 是 在 现在 的 网 络 环境 下 ， 单 独 依靠 主机 审计 信息 进行 入 侵 检 测 已 难以 适应 网 络 安全 的 需要 。 

(2) 基于 网 络 的 入 侵 检 测 系统 (Network Intrusion Detection Systetm，NIDS) 数据 源 是 网 络 
上 的 数据 包 ， 在 这 种 类 型 的 入 侵 检 测 系统 中 ， 往 往 将 一 人 台 机 器 的 网 卡 设置 为 混杂 模式 ， 监 听 所 
有 本 网 段 内 的 数据 包 并 进行 判断 。 一 般 基 于 网 络 的 入 侵 检测 系统 担负 着 保护 整个 网 段 的 任务 。 
它 不 停 地 监视 网 段 中 的 各 种 数据 包 ， 对 每 一 个 可 疑 的 数据 包 进 行 特征 分 析 ， 如 有 条 数据 包 与 内 置 
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的 某 些 规则 吻合 ， 入 侵 检 测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连 接 。 目 前 ， 大 部 分 入 侵 检 训 
产品 是 基于 网 络 的。 基于 网 络 的 IDS 易于 配置 ， 易 于 作为 一 个 独立 的 组 件 来 进行 管理 ， 而 且 它 
们 对 受 保护 系统 的 性 能 也 不 产生 影 啊 或 影响 很 小 。 在 网 络 入 侵 检 测 系统 中 ， 有 多 个 久负盛名 的 
开放 源码 软件 ， 例 如 Snort、NFR、Shadow 等 。 图 5-5 是 一 个 典型 的 基于 网 络 的 入 侵 检 测 系统 


的 模型 。 


检测 结果 


和 人 规则 库 


入 侵 检 测 模块 


模块 1 


图 $-5_ NIDS 模型 


(3) 混合 型 是 基于 主机 和 基于 网 络 的 入 侵 检 训 系统 的 结合 ， 它 为 前 两 种 方案 提供 了 互补 ， 
还 提供 了 入 侵 检 训 的 集中 管理 ， 采 用 这 种 技术 能 实现 对 入 侵 行 为 的 全 方位 检测 。 


S. 异 音 检测 与 误 用 检测 


网 络 数据 包 捕获 
模块 n 


以 太 网 


异 利 检测 〈Abnormal Detection ) 指 能 够 根据 异 第 行为 和 使 用 计算 机 资源 的 情况 检测 出 来 的 
入 侵 。 该 技术 通过 流量 统计 分 析 建 立 系统 正音 行为 的 轨迹 ， 当 系统 运行 时 的 数值 超过 正 利 闭 值 
则 认为 可 能 受到 攻击 ， 其 技术 本 喘 束 导 致 了 漏 报 误 报 率 较 高 。 

误 用 检测 〈Misuse Detection ) 技术 是 建立 在 使 用 某 种 模式 或 者 特征 描述 方法 能 够 对 任何 已 
知 攻击 进行 表达 这 一 理论 基础 上 的 ， 其 关键 是 如 何 正 确 表 达 入 侵 的 模式 ， 把 真正 的 入 侵 与 正 各 
行为 区 分 开 来 。 误 用 检测 可 以 直接 识别 攻击 ， 误 报 率 低 ， 缺 点 是 只 能 检测 已 定义 的 攻击 方法 ， 
对 新 的 攻击 方法 无 能 为 力 ， 必 须 及 时 更 新 模式 库 。 

6. 分 布 式 入 侵 检测 系统 

传统 的 集中 式 IDS 的 基本 模型 是 在 网 络 的 不 同 网 段 放置 多 个 探测 器 收集 当前 网 络 状态 的 
信息 ， 然 后 将 这 些 信 息 传 送 到 中 央 控 制 台 进行 分 析 处 理 。 这 种 方式 存在 明显 的 缺陷 。 首 先 ， 对 


于 大 规模 分 布 式 攻击 ， 中 央 控 制 台 的 负 丛 将 会 超过 其 处 理 极限 ， 这 种 情况 会 造成 大 量 信息 处 理 
的 遗漏 ， 导 致 漏 警 率 的 增高 。 其 次 ， 多 个 探测 器 收集 到 的 数据 在 网 络 上 的 传输 会 在 一 定 程度 上 
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增加 网 络 负担 ， 导 致 网 络 系统 性 能 的 降低 。 再 者 ， 由 于 网 络 传输 的 时 延 问题 ， 中 央 控 制 台 处 理 
的 网 络 数据 包 中 所 包含 的 信息 只 反映 了 探测 器 接收 到 它 时 网 络 的 状态 ， 不 能 实时 反映 当前 网 络 
状态 。 

现代 IDS 必须 能 够 实现 局 部 实时 检测 ， 全 局 信息 共享 ， 只 有 这 样 才能 够 有 效应 对 现代 网 络 
的 特点 。 因 此 ， 分 布 式 入 侵 检 测 系统 (Distributed Intrusion Detection System，DIDS ) 应 运 而 生 。 
DIDS 采用 了 分 布 式 智能 代理 的 结构 方式 ， 由 儿 个 中 央 智 能 代理 和 大 量 分 布 的 本 地 代理 组 成 ， 
其 中 本 地 代理 负责 处 理 本 地 事件 ， 而 中 央 代 理 负责 整 体 的 分 析 工 作 。 与 集中 式 模 型 不 同 ， 它 强 
调 的 是 通过 全 体 智 能 代理 协同 工作 来 分 析 入 侵 者 的 攻击 策略 ， 中 央 代 理 扮演 的 是 协调 者 和 全 局 
分 析 员 的 角色 ， 但 绝对 不 是 唯一 的 事件 处 理 者 ， 其 地 位 就 像 是 战场 上 的 元 帅 ， 根 据 对 全 局 形势 
的 判断 指挥 部 下 开展 行动 。 本 地 代理 有 较 强 的 目 主 性 ， 可 以 独立 对 本 地 攻击 进行 有 效 的 检测 ; 
同时 , 它 也 和 中 央 代 理 和 其 他 本 地 代理 通信 , 接受 中 央 代 理 的 调度 指挥 并 与 其 他 代理 协同 工作 。 

一 个 简单 的 分 布 式 入 侵 检 测 系 统 如 图 $-6 所 示 。 


中 央 代 理 
2 本 
六 本 
/7 \ 
/ NS 


网 络 监视 箱 网 络 监视 俘 网 络 监视 符 网 络 监视 条 
通信 代理 通信 代理 通信 代理 通信 代理 


…、 共享 网 自 


图 $-6 DIDS 系统 


其 组 成 部 分 包括 : 

e。 用户 接口 : 主要 负责 给 安全 管理 者 提供 友好 的 人 机 界面 。 

。 通信 管理 器 : 主要 负责 控制 整个 系统 的 信息 流 。 

。 网 络 监视 需 : 主要 负责 监视 网 络 中 的 数据 ， 通 过 通信 代理 模块 加 DIDS 中 央 控 制 台 发 
送信 息 。 


5.5.2 ”人 侵 检 测 系统 实例 


NIP6550ED 是 华为 技术 有 限 公 司 推出 的 新 一 代 专 业 入 侵 检 测 产品 ， 主 要 应 用 于 企业 、IDC 
(mternet Data_ Center) 和 校园 网 等 场景 ， 为 客户 应 用 和 流量 的 安全 提供 保障 。 其 在 传统 PS 产 
品 的 基础 上 进行 了 扩展 : 增加 对 所 保护 的 网 络 环境 感知 能 力 、 深 度 应 用 感知 能 力 、 内 容 感知 能 
力 ， 以 及 对 未 知 威胁 的 防御 能 力 ， 实 现 了 更 精准 的 检测 能 力 和 更 优化 的 管理 体验 。 更 好 地 保障 
应 用 和 业务 安全 ， 实 现 对 网 络 基础 设施 、 服 务 器 、 客 户 端 以 及 网 络 带宽 性 能 的 全 面 防 护 。 
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NIP65$50ED 通 稼 劳 路 部 署 在 网 络 中 ， 能 够 实时 监控 网 络 安全 状况 、 分 析 网 络 中 的 流量 ， 当 
发 现 攻击 时 产生 告警 并 记录 攻击 事件 , 作为 后 续 评 估 网 络 状况 和 审计 的 依据 。 同 时, NIP65S0ED 
还 可 以 与 防火 墙 等 具备 阻 断 能 力 的 设备 进行 联动 进而 对 攻击 进行 有 效 防御 。 设 备 如 图 $-7 所 示 。 


图 $-7 ”华为 NIP6$S$0ED 入 侵 检 测 设备 


NIP6550ED 的 主要 应 用 场景 是 监控 网 络 安全 状况 , 通常 旁 路 部 署 于 网 络 中 ,， 当 发 现 攻 击 时 
产生 告警 并 记录 攻击 事件 。 产 品 的 核心 功能 是 安全 事件 管理 ， 主 要 用 来 记录 各 类 攻击 事件 和 网 
络 应 用 流量 信息 ， 进 而 进行 网 络 安全 事件 审计 和 用 户 行为 分 析 。 其 应 用 场景 如 图 $-8 所 示 。 劳 
路 部 署 的 关键 在 于 NIP6550ED 需要 将 获取 到 的 镜像 业务 流量 进行 检测 而 不 参与 流量 转发 .可 以 
将 NIP655S0ED 连接 到 交换 机 的 观察 端口 上 ， 或 者 使 用 侦 听 设备 〈 如 分 光 髓 ) ， 通 过 镜像 或 分 泡 
的 方式 把 流量 复制 到 NIP6530ED 上 。 


屋 | 


$-8 NIP6$5$0ED 应 用 场景 


5.5.3 人 侵 防 御 系 统 


1. 入 侵 防御 系统 概述 


随 痢 网 络 攻击 技术 的 发 展 ， 对 安全 技术 提出 了 新 的 挑战 。 防 火场 技术 和 IDS 目 身 具有 的 缺 
陷 阻 止 了 它们 进一步 的 发 展 ， 如 防火 墙 不 能 阻止 内 部 网 络 的 攻击 ， 对 于 网 络 上 流行 的 各 种 病毒 
也 没有 很 好 的 防御 措施 ，IDS 只 能 检测 入 侵 而 不 能 实时 地 阻止 攻击 ， 而 且 IDS 具有 较 高 的 漏 报 
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和 误 报 率 。 

在 这 种 情况 下 ， 入 侵 防 御 系 统 (Intrusion Prevention System，IPS) 成 了 新 一 代 的 网 络 安全 
技术 。IPS 提供 主动 、 实 时 的 防护 ， 其 设计 旨 在 对 网 络 流量 中 的 恶意 数据 包 进 行 检 测 ， 对 攻击 
性 的 流量 进行 自动 拦截 ， 使 它们 无 法 造成 损失 。IPS 如 果 检 测 到 攻击 企图 ， 就 会 自动 地 将 攻击 
包 丢 掉 或 采取 措施 阻 断 攻击 源 ， 而 不 把 攻击 流量 放 进 内 部 网 络 。 

IPS 与 防火 墙 的 区 别 : 从 所 处 的 位 置 来 看 ，IPS 很 像 传统 的 防火 墙 技术 。 但 是 ， 传 统 防 火 
墙 只 能 对 网 络 层 和 传输 层 进行 检查 ， 不 能 检测 应 用 层 的 内 容 。 防 火 墙 的 包 过 滤 技 术 不 会 针对 每 
一 个 字 节 进行 检查 ， 因 而 很 多 攻击 将 不 会 被 发 现 ， 而 IPS 不 仅 可 以 做 到 对 流量 进行 逐 字 节 的 检 
查 ， 而 且 可 以 将 经 过 的 数据 包 还 原 为 完整 的 数据 流 ， 通 过 对 数据 流 的 监控 来 发 现 正在 进行 的 网 
络 攻击 。 

IPS 与 IDS 的 区 别 : IPS 和 IDS 的 部 署 方式 不 同 。 串 接 式 部 署 是 IPS 和 IDS 区 别 的 主要 特征 ， 
IDS 产品 在 网 络 中 是 旁 路 式 工 作 ，IPS 产品 在 网 络 中 是 串 接 式 工作 。 串 接 式 工 作 保证 所 有 网 络 数 
据 都 经 过 IPS 设备 ，IPS 检测 数据 流 中 的 恶意 代码 ， 核 对 策略 ， 在 未 转发 到 服务 器 之 前 ， 将 信息 
包 或 数据 流 拦 截 ， 如 图 $-9 所 示 。 由 于 是 在 线 操作 ， 因 而 能 保证 处 理 方法 适当 而 且 可 预知 。 


攻击 源 防火 墙 交换机 目标 


在 线 IPS 


图 $-9 IDS 与 IPS 的 区 别 


IPS 系统 根据 部 署 方式 可 以 分 为 3 类 : 基于 主机 的 入 侵 防 护 CHIPS) 、 基 于 网 络 的 入 侵 防 
护 (NIPS) 、 应 用 入 侵 防 护 (AIPS) 。 

从 IPS 的 功能 模式 来 看 ， 必 须 具 备 如 下 技术 特征 : 

(1) 嵌入 式 运行 :， 只 有 以 嵌入 模式 运行 的 IPS 设备 才能 够 实现 实时 的 安全 防护 ， 实 时 阻拦 
所 有 可 疑 的 数据 包 。 
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(2) 深入 分 析 和 控制 : IPS 必须 具有 深入 分 析 能 力 ， 以 确定 哪些 恶意 流量 已 经 被 拦截 ， 根 
据 攻击 类 型 、 策 略 等 来 确定 哪些 流量 应 该 被 拦截 。 

(3) 入 侵 特 征 库 : 高 质量 的 入 侵 特 征 库 是 IPS 高 效 运行 的 必要 条 件 ，IPS 还 应 该 定期 升级 
入 侵 特 征 库 ， 并 快速 应 用 到 所 有 传感器 。 

(4) 高 效 处 理 能 力 : IPS 必须 具有 高 效 处 理 数 据 包 的 能 力 ， 对 整个 网 络 性 能 的 影响 保持 在 
低下 平 。 


2. 入 侵 防 御 系 统 的 原理 


IPS 是 通过 直接 艇 入 到 网 络 六 量 中 来 实现 这 一 功能 的 ， 即 通过 一 个 端口 接收 来 自 外 部 系统 
的 流量 ， 经 过 检 碍 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ， 再 通过 另外 一 个 端口 将 它 传送 到 内 
部 系统 中 。 这 样 ， 有 问题 的 数据 包 以 及 所 有 来 自 同 一 数据 流 的 后 续 数 据 包 ， 都 能 在 IPS 设备 中 
被 清除 掉 。 如 果 有 攻击 者 利用 Layer2 (数据 链 路 层 ) 至 Layer7〈 应 用 层 ) 的 漏洞 发 起 攻击 ，IPS 
能 够 从 数据 流 中 检查 出 这 些 攻击 并 加 以 阻止 ， 传 统 的 防火 墙 上 只 能 对 Layer3〈 网 络 层 ) 或 Layer4 
〈 传 输 控 制 层 ) 进行 检查 ， 不 能 检测 应 用 层 的 内 容 。 防 火 寺 的 包 过 滤 技 术 不 会 针对 每 一 个 字 
进行 检查 , 因而 也 就 无 法 发 现 攻击 活动 , 而 IPS 可 以 做 到 逐一 字 节 地 检查 数据 包 。 所 有 流 经 IPS 
的 数据 包 都 被 分 类 ， 分 类 的 依据 是 数据 包 中 的 报头 信息 ， 如 源 下 地 址 和 目的 下 地 址 、 端 口号 
和 应 用 域 。 每 种 过 滤器 负责 分 析 相 对 应 的 数据 包 。 通 过 检查 的 数据 包 可 以 继续 前 进 ， 包 含 恶意 
内 容 的 数据 包 怠 会 被 去 寞 ， 被 怀疑 的 数据 包 则 需要 接受 进一步 的 检查 。IPS 的 基本 工作 原理 如 
图 S-10 所 示 。 


入 侵 防 御 引 擎 


流 状 态 信息 
图 $-10 IPS 原理 图 


IPS 的 基本 工作 过 程 如 下 : 
(1) 根据 数据 包头 和 流 信 息 ， 如 源 目的 地 址 、 源 目的 端口 和 应 用 层 关 键 的 信息 ， 每 个 数据 
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包 都 会 被 分 类 ， 同 时 协议 类 型 和 流量 统计 等 信息 都 送 到 流 处 理 模块 分 析 、 审 计 。 

2) 根据 数据 包 的 分 类 ， 相 关 的 过 滤 规 将 衫 调用 ， 用 于 检查 数据 包 的 流 状 态 信 息 。 

(3) 所 有 相关 过 滤器 都 是 并 行使 用 ， 如 末 任 何 数 据 包 符合 过 滤 规 则 ， 则 数据 包 中 的 match 
位 置 1。macth 位 置 1 的 数据 包 将 被 丢弃 ， 与 之 相关 的 流 信息 将 更 新 ， 指 示 系 统 删除 关于 该 数据 
流 的 信息 。 

针对 不 同 的 攻击 行为 ，IPS 需要 不 同 的 过 滤 右 。 每 种 过 滤器 都 设 有 相应 的 过 滤 规 则 ， 为 了 
确保 准确 性 ， 这 些 规 则 的 定义 非常 广泛 。 在 对 传输 内 容 进 行 分 类 时 ， 过 滤 引 擎 还 需要 参照 数据 
包 的 信息 参数 ， 并 将 其 解析 全 一 个 有 意义 的 域 中 进行 上 下 文 分 机 ， 以 提高 过 滤 准 确 性 。 过 滤 引 
擎 集合 了 流水 和 大 规模 并 行 处 理 便 件 ， 能 够 同时 执行 数 千 次 的 数据 包 过 滤 检 查 。 并 行 过 滤 处 理 
可 以 确保 数据 包 能 够 不 间断 地 快速 通过 系统 ， 不 会 对 速度 造成 影响 。 

如 果 在 网 络 边界 检查 到 攻击 包 的 同时 将 其 直接 抛 痉 ， 则 攻击 包 将 无 法 到 达 目 标 ， 从 而 可 以 
从 根本 上 避免 墨客 的 攻击 。 这 样 ， 在 新 漏 铜 出现 后 ， 只 需要 所 与 一 个 过 滤 规 则 ， 残 可 以 防止 此 
类 攻击 的 威胁 了 。 


3. IPS 的 检测 技术 


目前 大 部 分 IPS 的 检测 技术 沿用 了 传统 IDS 的 相关 技术 ， 本 文 在 原 有 检测 技术 基础 上 ， 根 
据 现在 网 络 上 流行 的 各 种 攻击 技术 ， 提 和 炼 并 分 析 了 针对 这 些 攻击 的 更 细 粒 度 的 检测 技术 。 为 了 
提高 检测 的 精确 度 ，IPS 最 好 使 用 多 种 合 检测 机 制 ， 实 现 深 度 检 测 。 

(1) 基于 特征 的 匹配 技术 。 特 征 匹 配 技术 的 前 提 是 建立 入 侵 特 征 库 。 入 侵 特 征 库 建 立 的 依 
据 是 攻击 技术 的 特征 、 应 用 协议 设计 上 的 缺陷 和 漏洞 、 系 统 误 用 模式 等 。 当 数据 包 来 到 时 ， 该 
技术 通过 检测 数据 包 内 容 来 提取 相关 信息 ， 然 后 和 入 侵 特征 库 中 的 规则 进行 匹 配 ， 从 而 发 现 违 
背 安 全 策略 的 行为 。 一 般 来 讲 ， 一 种 攻击 模式 可 以 用 一 个 过 程 〈 如 执行 一 条 指令 ) 或 一 个 和 输出 
《如 获得 权限 ) 来 表示 。 该 方法 的 最 大 优点 是 只 需要 收集 相关 的 特征 集合 ， 显 若 减少 系统 负担 ， 
且 已 相当 成 熟 。 它 与 病毒 防火 墙 采 用 的 方法 一 样 ， 检 测 准 确 率 和 效率 都 相当 高 。 但 是 ， 该 方法 
存在 的 弱点 是 需要 不 断 地 升级 特征 库 以 对 付 不 断 出 现 的 攻击 技术 ， 且 不 能 检测 到 未 知 的 攻击 ， 
也 不 能 检测 混合 型 的 攻击 。 

(2) 协议 分 析 技 术 。 协 议 分 析 是 一 种 较 新 的 入 侵 检 测 技术 ， 它 充分 利用 网 络 协议 的 高 度 有 
序 性 ， 并 结合 高 速 数 据 包 捕 捉 和 协议 分 析 ， 来 快速 检测 茶 种 攻击 特征 。 协 议 分 析 正 在 逐渐 进入 
成 熟 应 用 阶段 。 协 议 分 析 能 够 理解 不 同 协议 的 工作 原理 ， 以 此 分 析 这 些 协议 的 数据 包 ， 来 寻找 
可 疑 或 不 正 帝 的 访问 行为 。 协 议 分 析 不 仅仅 基于 协议 标准 。 通 过 协议 分 机 ，IPS 能 够 针对 反 IDS 
的 插入 〈Insertion ) 与 规避 (Evasion) 攻击 进行 检测 。 

与 传统 防火 墙 不 同 的 是 ，IPS 不 但 要 分 析 和 跟踪 卫 、ICMP、UDP、TCP 这 几 种 网 络 层 、 
传输 层 的 协议 ， 而 且 还 要 对 HTTP、HTTPS、FTP、TFTP、SNMP、Telnet、SMTP、POP、DNS、 
RPC、LDAP 等 众多 的 应 用 协议 ， 包 括 弟 用 的 QQ、 微 信 、 微 博 、 社 交 媒 体 等 应 用 进行 分 析 、 跟 
踪 。 在 该 技术 中 ， 上 所 有 流 经 IPS 的 数据 包 ， 首 先 经 过 预 处 理 ， 这 个 预 处 理 过 程 主要 完成 对 数据 
包 的 重组 ， 以 便 了 PS 能 够 看 清楚 具体 的 应 用 协议 。 在 此 基础 上 ，IPS 根据 不 同 应 用 协议 的 特征 
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与 攻击 方式 ， 将 重组 后 的 包 进 行 筛选 ， 将 一 些 可 疑 数据 包 送 入 专门 的 特征 库 进 行 对 比 。 由 于 经 
过 了 筛选 ， 可 疑 数据 量 大 大 减少 ， 因 此 可 以 大 幅度 减少 IPS 处 理 的 工作 量 ， 同 时 降低 误 报 率 。 

(3) 抗 DDoS/DoSg 技术 。DDos 攻击 是 在 DogS 攻击 的 基础 上 产生 的 一 类 攻击 方式 ， 攻 击 者 
使 用 协同 控制 的 方式 控制 多 台 网 络 主机 同时 向 目标 主机 发 起 拒绝 服务 攻击 ， 构 成 对 互联 网 的 威 
胁 。 检 测 此 类 攻击 可 有 两 种 方法 : 基于 数据 包 特 征 的 分 析 和 基于 流量 的 统计 。 

(4) 智能 化 检测 技术 。 随 着 人 工 智能 和 数据 挖掘 技术 的 发 展 ， 出 现 了 智能 化 检测 技术 。 现 
阶段 的 常用 方法 有 神经 网 络 、 遗 传 算法 、 模 糊 技术 等 ， 这 些 方法 用 于 入 侵 特 征 的 辨识 与 泛 化 。 
利用 具有 学 习 能 力 的 专家 系统 ， 可 以 实现 知识 库 的 不 断 升 级 与 扩展 ， 使 系统 的 防范 能 力 不 断 增 
强 ， 具 有 更 广泛 的 应 用 前 景 。 此 外 ， 由 于 信息 和 数据 数量 庞大 ， 借 用 数据 挖掘 的 方法 ， 包 括 关 
联 、 序 列 等 ， 可 以 有 效 提高 入 侵 检 测 的 精确 性 。 

(5$) 蜜 饶 技术 。 美 国 著名 的 蜜 缸 技术 专家 L.Spizner 曾 对 蜜 缸 做 了 这 样 的 定义 : 密 饶 是 一 
种 资源 , 它 的 价值 是 被 攻击 或 攻陷 。 这 就 意味 着 蜜 饶 是 用 来 被 探测 、 被 攻击 甚至 最 后 被 攻陷 的 ， 
守 饶 不 会 修补 任何 东西 ， 这 样 就 为 使 用 者 提供 了 额外 的 、 有 价值 的 信息 。 一 个 合格 的 蜜 缸 需要 
具有 如 下 功能 : 发 现 攻击 、 产 生 和 警告 、 强 大 的 记录 能 力 、 其 骗 、 协 助 调查 。 

为 了 吸引 攻击 者 ， 通 常 在 蜜 缸 系统 上 留 下 一 些 安 全 后 门 ， 或 者 放置 一 些 网 络 攻击 者 希望 得 
到 的 敏感 信息 ， 当 然 这 些 信 息 都 是 虚假 的 信息 。 当 有 攻击 者 进入 时 ， 蜜 饶 将 把 攻击 者 从 关键 系 
统 引 开 ， 同 时 开始 收集 攻击 者 的 活动 信息 ， 并 且 吸 引 攻 击 者 在 系统 停留 ， 便 于 记录 攻击 者 的 行 
为 。 穴 饶 技术 最 重要 的 功能 也 就 是 对 攻击 者 所 有 操作 和 行为 进行 监视 和 记录 ， 然 后 把 结果 保存 
在 日 志 服 务 器 上 ， 便 于 管理 员 碍 看 与 分 析 ， 为 进一步 完善 系统 的 安全 指 施 提供 依据 。 

守 饶 不 会 直接 提高 计算 机 网 络 安全 , 但 它 却 是 一 种 不 可 缺少 的 主动 防御 技术 , 目前 很 多 IPS 
产品 中 都 集成 了 密 钱 技术。 

4.IPS 存在 的 问题 


目前 卫 S 技术 面临 着 很 多 挑战 ， 主 要 有 以 下 四 个 方面 : 

(1) 单 点 故障 : 设计 要 求 IPS 必须 以 藤 入 模式 工作 在 网 络 中 ， 这 就 可 能 造成 单 点 故障 。 如 
果 和 藤 入 式 IPS 设备 出 现 问题 ， 就 会 严重 影响 网 络 的 正常 运转 ;如果 IPS 因 故 障 而 关闭， 则 合法 
用 户 无 法 访问 网 络 提供 的 服务 。 

(2) 性 能 瓶颈 : IPS 和 骨 入 式 接 入 ， 即 使 IPS 设备 不 出 现 故 障 ， 但 仍然 是 一 个 潜在 的 网 络 瓶 
贷 。 所 有 流量 的 数据 包 都 通过 IPS 进行 检测 ， 当 检测 特征 库 规则 数量 庞大 时 ， 不 可 避免 地 会 给 
传输 带 来 延迟 。 

(3) 误 报 率 和 漏 报 率 : 在 繁忙 的 网 络 当中 ， 一 旦 生成 了 警报 ， 最 基本 的 要 求 就 是 IPS 能 
对 和 警报 进行 有 效 处 理 。 如 果 入 侵 特 征 编写 得 不 是 十 分 完善 ， 那 么 “ 误 报 ”就 有 了 可 乘 之 机 ， 导 
致 合法 流量 也 有 可 能 被 意外 拦截 。 对 于 实时 在 线 的 IPS 来 说 ， 一 旦 拦截 了 “攻击 性 ”数据 包 ， 
就 会 对 来 自 可 疑 攻击 者 的 所 有 数据 流 进 行 拦截 。 如 果 产 生 了 误 报 警报 的 流量 恰好 是 某 个 合法 用 
户 ， 其 结果 可 想 而 知 ， 这 个 用 户 整 个 会 话 就 会 被 关闭 ， 而 且 此 后 该 用 户 所 有 重新 连接 到 网 络 的 
合法 访问 都 会 被 “尽职 尽责 ”的 IPS 拦截 。 
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(4) 规则 库 更 新 : IPS 规则 库 与 病毒 库 一 样 ， 需 要 不 断 更 新 。 但 是 安全 事件 的 种 类 和 数量 
太 多 ， 不 易 提 取 特 征 ，IPS 更 新 规则 库 难 度 较 大 。 


5.6 VPN 技术 


VPN (Virtual Private Network) ， 即 虚拟 专用 网 络 。VPN 是 指 利 用 公共 网 络 建立 私有 专用 
网 络 ， 数 据 通过 安全 的 “加 密 隧 道 ” 在 公共 网 络 中 传播 ， 连 接 在 Internet 上 的 位 于 不 同 地 方 的 
两 个 或 多 个 企业 内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 ， 承 像 是 架设 了 一 条 专线 一 样 ， 但 是 它 并 
不 需要 真正 去 敷设 光缆 之 类 的 物理 线路 。VPN 利用 公共 网 络 基 础 设施 为 企业 各 部 门 提 供 安 全 的 
网 络 互 连 服务 ， 能 够 使 运行 在 VPN 之 上 的 商业 应 用 享有 几乎 和 专用 网 络 同样 的 安全 性 、 可 靠 
性 、 优 先 级 别 和 可 管理 性 。 企 业 只 需要 租用 本 地 的 数据 专线 ， 连 接 上 本 地 的 公共 信息 网 ， 各 地 
的 机 构 就 可 以 互相 传递 信息 。 同 时 ， 企 业 还 可 以 利用 公共 信息 网 的 拨号 接 入 设备 ， 让 目 己 的 用 
户 拨号 到 公共 信息 网 上 ， 就 可 以 安全 地 连接 进入 企业 网 。 使 用 VPN 有 节省 成 本 、 提 供 远 程 访 
问 、 扩 展 性 强 、 便 于 管理 和 实现 全 面 控制 等 好 处 ， 是 目前 和 今后 企业 网 络 发 展 的 趋势 。 


5.6.1 IPSec 


IPSec 协议 是 Pnternet 工程 任务 组 为 傈 证 卫 及 其 上 层 协 议 的 安全 而 制定 的 一 个 开放 安全 标 
准 , IPSec 协议 不 是 一 个 单独 的 协议 , 它 给 出 了 应 用 于 卫 层 上 网 络 数据 安全 的 一 整套 体系 结构 ， 
包括 网 络 认 证 协议 _ Authentication Header (AH) 、 封 装 安全 载荷 协议 Encapsulating Security 
Payload (ESP) 、 密 钥 管 理 协议 Internet Key Exchange (IKE) 和 用 于 网 络 认 证 及 加 密 的 一 些 算 
法 等 。IPSec 规定 了 如 何在 对 等 层 之 间 选 择 安 全 协议 、 确 定安 全 算法 和 密 钥 交换 ， 癌 上 提供 了 
访问 控制 、 数 据 源 认证 、 数 据 加 密 等 网 络 安全 服务 。 


1. IPSec 协议 体系 结构 


IPSec 协议 是 IETF 于 1998 年 11 月 公布 的 卫 安全 标准 ，IPSec 的 设计 目的 是 在 Internet 上 
建立 安全 的 卫 连 接 ， 用 来 填补 目前 Internet 在 安全 方面 的 空白 。IPSec 对 于 IPv4 是 可 选 的 ， 对 
于 JIPv6 是 强制 性 的 。 

如 图 $-11 所 示 ，IPSec 体系 结构 的 第 一 个 主要 部 分 是 安全 结构 。IPSec 使 用 两 个 协议 提供 
数据 包 的 安全 : 认证 头 (Authentication Header，AH) 和 封装 安全 载荷 (Encapsulating Security 
Payload，ESP) 。AH 协议 支持 访问 控制 、 数 据 源 认证 、 无 连接 的 完整 性 和 抗 重 放 攻击 。ESP 
协议 提供 访问 控制 、 数 据 机 密 性 、 无 连接 的 完整 性 、 抗 重 放 攻 击 和 有 限 的 通信 流 机 密 性 等 安全 
服务 。AH 协议 和 ESP 协议 都 是 接 入 控制 的 手段 ， 建 立 在 加 密 密 钥 的 分 配 和 与 这 些 安全 协议 相 
关 的 通信 流量 管理 的 基础 上 。 

IPSec 协议 使 用 正 E (Internet Key Exchange) 协议 实现 安全 协议 的 目 动 安全 参数 协商 。IKE 
协商 的 安全 参数 包括 加 密 及 鉴别 算法 、 加 密 及 鉴别 密 钥 、 通 信 的 保护 模式 《传输 或 障 道 模式 ) 、 
密 钥 的 生存 期 等 。 下 E 还 负责 这 些 安全 参数 的 刷新 。 
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S-11 IPSec 体系 结构 


解释 域 DOICDomain of Interpretation ) 是 整个 IPSec 协议 中 很 重要 的 部 分 , 它 将 所 有 IPSec 
小 组 的 文献 捆绑 在 一 起 ， 通 过 对 解释 域 的 访问 可 以 得 到 相关 协议 各 字 节 位 的 含义 解释 。 它 可 
以 被 认为 是 所 有 的 了 PSec 安全 参数 的 主 数据 库 ， 这 些 参数 可 以 被 与 IPSec 服务 相关 的 系统 参 
考 调 用 。 

对 于 IPSec 数据 流 处 理 而 言 , 有 两 个 必要 的 数据 库 , 即 安 全 关联 数据 库 (Security Association 
Database，SAD ) 和 安全 策略 数据 库 〈Security Policy Database，SPD) 。SAD 包含 活动 的 SA 
参数 ;SPD 指定 了 用 于 到 达 或 者 源 自 特定 主机 或 网 络 的 数据 流 的 策略 。 对 于 SPD 和 SAD 都 需 
要 单独 的 输入 和 输出 数据 库 。 


2.AH 和 了 SP 


IPSec 的 基本 协议 包括 AH 和 ESP。 

1) AH 协议 

AH 协议 为 通信 提供 数据 源 认 证 、 数 据 完 整 性 和 抗 重 放 保 证 。AH 的 工作 了 原理 是 在 每 一 
个 数据 包 上 添加 一 个 身份 验证 报头 。 此 报头 包含 一 个 带 密 钥 的 Hash 散 列 ， 此 Hash 散 列 在 
整个 数据 包 中 计算 ， 因 此 对 数据 的 任何 更 改 将 致使 散 列 无 效 ， 这 样 就 提供 了 完整 性 保护 。 
AH 报头 位 置 在 卫 报头 和 传输 层 协议 报头 之 间 。AH 由 了 王 协 议 号 “5S$1” 标 识 ， 该 值 包含 在 
AH 报头 之 前 的 协议 报头 中 ， 如 卫 报 头 。AH 可 以 单独 使 用 ， 也 可 以 与 ESP 协议 结合 使 用 。 
ESP 协议 也 提供 可 选择 的 认证 服务 ,AH 与 ESP 二 者 的 认证 服务 的 差别 在 于 它们 计算 时 所 秦 
盖 的 范围 不 同 。 

AH 报头 的 格式 如 图 $-12 所 示 。 
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安全 参数 索引 ( SPI ) 


序号 


认证 数据 


图 $-12 AH 报头 的 格式 


AH 报头 各 字段 的 含义 如 下 : 


下 一 个 报头 :是 一 个 8 位 的 字段 ,指明 AH 报头 之 后 的 载荷 类 型 。 字 段 的 值 取 自 于 IANA 
的 卫 协议 号 定义 。 

负荷 长 度 : 采用 以 32 位 的 宇 为 单位 的 值 减 2 表示 AH 报头 长 度 。 

保留 : 这 个 16 位 的 字段 被 保留 为 将 来 使 用 ， 因 为 目前 没有 使 用 ， 必 须 将 它 设 为 0。 
安全 参数 索引 : SPI 是 一 个 任意 的 32 位 值 ， 被 接收 者 用 来 识别 对 进入 包 进 行 号 份 验证 
的 安全 关联 SA。 它 与 数据 包 的 目的 卫 地 址 、 安 全 协议 类 型 一 起 ， 唯 一 地 确定 了 这 一 
数据 包 所 用 的 安全 关联 SA。SPI 值 0 被 保留 来 表明 “没有 安全 关联 存在 ”。 

序号 ; 从 1 开始 的 32 位 单 增 序列 号 ， 不 允许 重复 ， 唯 一 地 标识 了 每 一 个 发 送 数据 包 ， 
为 安全 关联 提供 抗 重 放 保护 。 接 收 端 校 验 序 列 号 为 该 字段 值 的 数据 包 是 否 已 经 被 接收 
过 ， 丰 是 ， 则 拒 收 该 数据 包 。 

认证 数据 : 这 个 字段 的 长 度 是 可 变 的 ， 但 总 是 一 个 32 位 字 的 整数 倍 。 该 认证 数据 被 
称 为 数据 包 的 完整 性 校 验 值 (ICV) 。 用 来 生成 ICV 的 算法 由 SA 指定 。 如 果 一 个 IPv4 
数据 包 的 ICV 域 的 长 度 不 是 32 的 整数 倍 ， 必 须 添 加 填充 比特 使 ICV 域 的 长 度 达 到 所 
需要 的 长 度 。 


2) ESP 协议 

ESP 提供 数据 保密 、 数 据 源 认 证 、 无 连接 的 完整 性 、 抗 重 放 服 务 和 有 限 的 数据 流 保密 。 实 
际 上 ，ESP 提供 同 AH 类 似 的 服务 ， 但 增加 了 两 个 额外 的 服务 ， 即 数据 保密 和 有 限 的 数据 流 保 
密 服务 。 一 个 卫 数据 包 所 使 用 的 具体 ESP 服务 由 相应 的 安全 关联 规定 。 保 密 服 务 是 ESP 的 主 


要 功能 ， 


如 果 在 没有 认证 的 情况 下 使 用 保密 功能 ， 这 个 卫 数据 包 有 可 能 受到 主动 攻击 的 威胁 。 


数据 源 认 证 和 完整 性 认证 《统称 认证 ) 作为 一 个 整体 ， 是 ESP 的 可 选用 服务 。 抗 重 放 功 能 仅 在 
有 ESP 认证 时 生效 ， 并 且 有 具体 处 理 取决 于 报 文 的 接收 方 。 流 量 保密 需要 使 用 ESP 隧道 模式 ， 一 
般 在 安全 网 关 处 实施 ， 这 样 可 隐藏 报 文 的 实际 收发 地 址 。 

ESP 报头 的 格式 如 图 5-13 所 示 。 
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汪 
安全 参数 索引 (SPI ) 


数据 (长度 可 变 ) 
Ta 


认证 数据 〈 长度 可 变 ， 可 选 ) 


图 $-13 ESP 报头 的 格式 


ESP 报头 各 字段 的 含义 如 下 : 


安全 参数 索引 :用 于 标识 一 个 安全 关联 。 

序号 : 单 问 递增 的 计数 志 值 ， 用 于 防止 重 放 攻击 。 

数据 : 载荷 数据 是 非 定 长 的 域 ， 用 来 存放 经 ESP 协议 处 理 过 的 数据 ， 这 些 数据 所 属 的 
关 型 由 “下 一 协议 头 ” 字 段 定 义 。 

填充 字段 : 额外 的 字 节 。 有 些 加 密 算 法 要 求 明文 长 度 是 分 组 的 茶 个 整 倍 数 ， 也 可 用 来 
隐藏 载 倚 数据 的 真实 长 度 。 

填充 长 度 : 表示 填充 的 字 节 数 。 

上 层 协议 : 指出 载荷 数据 所 包含 的 内 容 。 

认证 数据 : 长 度 可 变 的 字段 ， 用 于 填 入 ICV。ICYV 的 计算 范围 为 ESP 包 中 除 掉 验 证 数 
据 字段 的 部 分 。 


3. 实施 模式 


SA 可 定义 为 以 下 两 种 模式 : 

(1) 传输 模式 。 一 个 传输 模式 SA 是 两 台 主 机 间 的 一 个 安全 关联 。 在 Pv4 环境 中 ， 一 个 
传输 模式 安全 协议 头 紧 接 在 卫 头 和 任意 选项 之 后 , 且 在 任何 更 高 层 协议 之 前 。 在 ESP 的 情况 
下 ， 一 个 传输 模式 SA 仅 为 那些 更 高 层 协 议 提 供 安 全 服务 ， 而 并 不 为 ESP 头 之 前 的 卫 头 或 任 
意 扩 展 头 提供 服务 。 在 AH 情况 下 ， 这 种 保护 也 被 扩展 到 王 头 的 可 选 部 分 、 扩 展 头 的 可 选 部 
分 和 可 选项 。 

(2) 隧道 模式 。 一 个 隧道 模式 SA 本 质 上 是 运用 于 一 个 卫 隧道 的 SA。 只 要 一 个 安全 关联 
的 任意 一 端 是 一 个 安全 网 关 ，SA 就 必须 是 隧道 模式 。 因 此 两 个 安全 网 关 之 间 的 一 个 SA 总 是 隧 
道 模式 SA， 同 样 地 ， 一 个 主机 和 一 个 安全 网 关 间 的 一 个 SA 也 是 这 样 的 。 

这 两 种 模式 的 区 别 在 于 隧道 模式 保护 整个 耻 数据 包 ， 传 输 模 式 保护 卫 包 内 的 数据 载荷 。 
对 应 于 上 面 介绍 的 AH 协议 和 ESP 协议 ， 使 用 不 同 的 模式 ， 其 报 文 格式 有 所 不 同 。 如 图 5-14 
和 图 $-15 所 示 ，AH 有 两 种 操作 模式 : 传输 模式 和 隧道 模式 。 
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除 可 变 域 都 要 认证 
图 5-14 ”传输 模式 的 AH 封装 


原 IP 头 


ORG 


除 新 了 头 中 的 可 变 域 都 要 认证 
图 $-15 ”隧道 模式 的 AH 封装 


ESP 协议 有 两 种 工作 模式 。 在 传输 模式 中 ，ESP 协议 将 上 层 协 议 数据 作为 ESP 封装 的 载荷 
数据 ， 而 原 卫 报头 仍 作为 封闭 后 的 卫 分 组 的 报头 。 在 隧道 模式 中 ， 原 卫 分 组 被 作为 载 傈 数据 
封装 入 ESP，ESP 为 封装 后 的 ESP 载荷 构造 一 个 新 的 卫 头 。 

两 种 模式 的 封装 格式 如 图 $-16 和 图 $-17 所 示 。 


本 


图 $-16 ”传输 模式 的 ESP 封闭 


图 $S-17 ”隧道 模式 的 ESP 封闭 


5.6.2  GRE 
GRE〈Generic Routing Encapsulation， 通 用 路 由 封 厂 ) 协议 是 对 茶 些 网 络 层 协议 〈 如 卫 和 


国 310 国明 网 络 规划 设计 师 教 程 〈 第 2 版 ) 
IPX) 的 数据 报 进行 封 儿 , 使 这 些 被 封 朔 的 数据 报 能 够 在 忆 一 个 网 络 层 协议 中 传输 。GRE 是 VPN 
的 第 三 层 隧 道 协议 ， 同 IPSec 协议 一 样 ，GRE 也 是 在 协议 层 之 间 采 用 了 Tunnel《〈 隧 道 ) 反 术 。 
1.GRE 报 文 格式 
在 最 简单 的 情况 下 ， 系 统 接收 到 一 个 需要 封装 和 路 由 的 数据 报 ， 我 们 称 之 为 有 效 报 文 
(Payload) 。 这 个 有 效 报 文 衣 先 被 GRE 封装 ， 然 后 被 称 为 GRE 报 文 。 这 个 报 文 接 看 被 封 荫 在 


IP 报头 中 ， 然 后 完全 由 卫 层 负 责 此 报 文 的 转发 〈Forwarded) ， 也 称 这 个 负责 转发 的 卫 协议 
为 传递 (Delivery) 协议 或 传输 〈Transport) 协议 。 整 个 被 封装 的 报 文 形式 如 下 。 


2 十 二 
Delivery Header 售 输 引 议 
GORE Header 
Payload 、 
td 


举例 来 说 ， 一 个 封 猴 在 了 下 Tunnel 中 的 了 了 X 传输 报 文 的 格式 如 下 。 


封 妆 协议 


传输 协议 ， 


其 中 GRE 报 文 头 的 格式 如 图 $-18 所 示 。 
0 末 15 


31] 


图 $S-18 GRE 报 文 头 的 格式 
下 面 详 细 说 明 各 个 位 的 含义 : 
(1) GRE 报头 的 前 32 位 〈4 个 字 币 ) 是 必须 要 有 的 ， 构 成 了 GRE 的 基本 报头 。 其 中 前 16 
位 是 GRE 的 标记 码 ， 其 详细 说 明 如 下 : 


第 5 章 网 络 安全 证 四 31 轿 


第 0 位 校 验 有 效 位 〈Checksum Present) 。 

第 1 位 一 一 路 由 有 效 位 〈Routing Present) 。 

第 2 位 一 一 密 铀 有效 位 〈Key Present) 。 

第 3 位 顺序 号 有 效 位 〈Sequence Number Present) 。 
第 4 位 严格 源 路 由 有 效 位 〈Strict Source Route) 。 


第 $ 位 一 一 递归 控制 位 〈Recursion Control) 。 


第 6~12 位 被 保留 将 来 使 用 ， 目 前 必须 都 被 置 为 0。 
第 13~15 位 保留 的 版 本 信息 位 (Version Number) 。 


(2) GRE 报头 的 后 16 位 是 Protocol Type 协议 类 型 ) 字 ， 说 明了 有 效 数 据 报 的 协议 类 型 。 
最 基本 的 是 卫 协议 和 以 太 网 协议 IPX， 分 别 对 应 的 协议 号 为 0x800、0x8137。 

(3) 下 面 是 可 选 的 GRE 报头 区 《〈 缺 省 都 没有 ) : 

Checksum 〈 校 验 信息 区 ) 16 位 : 校 验 信 息 区 包含 GRE 头 和 有 效 分 组 补充 的 卫 校 验 。 如 
末路 由 有 效 位 或 校 验 有 效 位 有 效 则 此 区 域 有 效 ， 而 仅 当 校 验 位 有 效 时 此 区 域 包含 有 效 信 息 。 

Offset( 位 移 量 区 )16 位 : 位 移 量 区 表示 从 路 由 区 开始 到 活动 的 被 检测 的 源 路 由 入 口 (Source 
Route Entry) 的 第 一 个 字 节 的 俩 移 量 。 如 条 路 由 有 效 位 或 校 验 有 效 位 有 效 则 此 区 域 有 效 ， 而 仪 
当 路 由 有 效 位 有 效 时 其 中 的 信息 有 效 。 

Key〈 密 钥 区 ) 32 位 : 密 钥 区 包含 封 猴 操作 插入 的 32 位 二 进 制 数 ， 它 可 以 被 接收 者 用 来 
证 实 分 组 的 来 源 。 当 密 钥 位 有 效 时 此 区 域 有 效 。 

Sequence Number《〈 顺 序号 ) 32 位 : 顺序 号 区 包括 由 封装 操作 插入 的 32 位 无 符号 整数 ， 它 
可 以 被 接收 方 用 来 对 那些 做 了 封装 操作 再 传输 到 接收 者 的 报 文 建立 正确 的 次 序 。 

《4) 最 后 是 长 度 不 定 的 Routing 〈 路 由 ) 区 。 

一 个 完整 的 GRE 报 文 头 即 由 上 述 的 数据 格式 所 构成 。 


2. GRE 的 工作 过 程 


因为 GRE 是 Tunnel 接口 的 一 种 封装 协议 ， 所 以 要 进行 GRE 封装 首先 必须 建立 Tunnel。 
一 旦 隧道 建立 起 来 ， 就 可 以 进行 GRE 的 加 封装 和 解 封装 。 

1) 加 封装 过 程 

首先 交 由 IPX 模块 处 理 ，IPX 模块 检查 IPX 报头 中 的 目的 地 址 域 ， 确 定 如 何 路 由 此 包 。 如 
果 报 文 的 目的 地 址 被 发 现 要 路 由 经 过 网 号 为 1f 的 网 络 (为 虚拟 网 号 ) ， 则 将 此 包 发 给 网 号 为 
If 的 端口 ， 即 ttnnel 端口 。tunnel 收 到 此 包 后 交 给 GRE 模块 进行 封装 ，GRE 模块 封装 完成 后 
交 由 了 王 模块 处 理 ， 卫 模块 做 完 相 应 处 理 后 根据 此 包 的 目的 地 址 及 路 由 表 交 由 相应 的 网 络 接口 
处 理 。 

2) 解 封 装 过 程 

解 封装 的 过 程 则 和 上 述 加 封装 的 过 程 相反 。 从 tunnel 接口 收 到 的 报 文 交 给 耳 模块 ， 卫 模 
块 检 查 此 包 的 目的 地 址 ， 发 现 是 此 路 由 器 后 进行 相应 的 处 理 〈《 和 普通 的 卫 数据 报 相 同 ) ， 剥 掉 
IP 报头 然后 交 给 GRE 模块 ，GRE 模块 进行 相应 处 理 后 〈 如 检验 密 钥 等 ) ， 去 掉 GRE 报头 然后 
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交 给 IPX 模块 ，IPX 模块 将 此 包 按照 普 通 的 IPX 数据 报 处 理 即 可 。 

3. GRE 的 应 用 

GRE 主要 能 实现 以 下 几 种 服务 类 型 。 

(1) 多 协议 的 本 地 网 通过 单一 协议 的 骨干 网 传输 。 

如 图 $-19 所 示 ，Group1 和 Group2 是 运行 IPX 协议 的 本 地 网 ，Terml 和 Term2 是 运行 
IP 协议 的 本 地 网 。 通 过 在 RouterA 和 了 RouterB 之 间 采 用 GRE 协议 封装 的 隧道 CTunnel), Group1l 
和 Group2、Terml 和 Term2 可 以 互 不 影响 地 进行 通信 。 


Novelli IPX 


Novell IPX 
Group2 


Internet 


2 


IP protocol 


Term2 


图 5-19 ”多 协议 本 地 网 通过 单一 协议 骨干 网 传输 
(2) 扩大 了 步 跳 数 受 限 协议 的 网 络 的 工作 范围 。 
如 图 $-20 所 示 的 两 侣 终端 之 间 的 步 跳 数 超过 135， 它 们 将 无 法 通信 。 而 通过 在 网 络 中 使 用 
隧道 《Tunnel) 可 以 隐藏 一 部 分 步 跳 ， 从 而 扩大 网 络 的 工作 范围 。 


Router A 


JIP protocol 
Terml 


Router A 


Router D 


Router C 
图 S-20 扩大 网 络 工作 范围 


(3) 将 一 些 不 能 连续 的 子 网 连接 起 来 ， 用 于 组 建 VPN。 
运行 IPX 协议 的 两 个 子 网 Group1 和 Group2 分 别 在 不 同 的 城市 ， 通 过 使 用 隧道 可 以 实现 


跨越 广域网 的 VPN， 如 图 $-21 所 示 。 
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Router A Router B 


图 $S-21 Tunnel 连接 不 连续 子 网 
(4) 与 IPSec 结合 使 用 。 
对 于 诸如 路 由 协议 、 语 音 、 视 频 等 数据 先进 行 GRE 封装 , 然后 再 对 封装 后 的 报 文 进 行 IPSec 
的 加 蜜 处 理 ， 如 图 $-22 所 示 。 


WORE TIunnel 


JPSec Tunnel 


图 $S-22”GRE-IPSec 隧道 结合 


妨 外 ，GRE 还 文 持 由 用 户 选择 记录 Tunnel 接口 的 识别 关键 字 ， 和 对 封装 的 报 文 进行 端 到 
疹 校 验 。 

由 于 GRE 收发 双方 要 进行 加 封装 、 解 封装 处 理 ， 以 及 由 于 封装 造成 的 数据 量 增加 等 因素 
的 影响 ， 导 致使 用 GRE 会 造成 路 由 器 的 数据 转发 效率 有 一 定 程度 的 下 降 。 


5.6.3 MPLS VPN 


基于 MPLS 的 VPN 是 VPN 的 一 种 解决 方案 。 在 MPLS 中 ， 网 络 供应 商 为 每 个 VPN 提供 
一 个 唯一 的 VPN 标识 待 (VPN-ID) ， 称 之 为 路 由 识别 符 〈Route Distinguisher，RD) ， 这 个 标 
识 符 在 服务 提供 商 的 网 络 中 是 独一无二 的 。 转 发 表 中 包括 一 个 独一无二 的 地 址 ， 叫 作 VPN-IP 
地 址 ， 是 由 RD 和 用 户 的 了 王 地 址 连接 形成 的 。 每 一 个 VPN 用 户 只 能 与 自己 的 VPN 网 络 中 的 成 
员 进 行 通信 ， 且 只 有 VPN 的 成 员 才 有 权 进 入 该 VPN。 

BGP 是 一 个 路 由 信息 分 布 协议 ， 它 利用 多 协议 扩展 和 共有 属性 来 定义 VPN 的 连接 性 ， 在 
基于 MPLS 的 VPN 中 ,，BGP 只 对 同一 个 VPN 的 成 员 发 布 信息 ,通过 流量 分 离 来 提供 基本 的 安 
全 性 。 因 为 数据 是 通过 使 用 LSP 来 转发 的 ，LSP 定义 一 条 不 可 改变 的 路 径 ， 以 保证 其 安全 性 。 
这 种 基于 标签 的 模式 可 与 帧 中 继 和 ATM 一 样 提供 安全 性 。 这 种 解决 方案 的 优势 在 于 ， 服 务 提 
供 商 可 以 通过 相同 的 网 络 结构 支持 多 种 VPN， 并 不 需要 为 每 一 个 用 户 建 立 单独 的 网 络 。 而 且 ， 
这 种 方案 将 卫 VPN 的 能 力 内 置 于 网 络 本 身 。 所 以 ， 服 务 提 供 商 可 以 为 所 有 租用 者 配置 一 个 网 
络 提 供 专 用 的 卫 服务 ， 如 Internet 和 Extranet， 而 无 需 管 理 隧道 或 VC 机 制 。 服 务 质量 保证 可 
与 基于 MPLS 的 VPN 无 颖 结合， 因为 两 者 都 是 基于 标签 的 技术 。 基 于 MPLS 的 VPN 网 络 可 以 
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很 容易 地 与 基于 卫 的 用 户 网 络 结合 起 来 。 租 用 者 可 与 供应 商 提 供 的 服务 无 颖 结合 ， 不 必 改 变 
Internet 应 用 ， 因 为 这 些 网 络 具 有 通晓 性 、 保 密 性 ， 且 将 服务 质量 内 置 于 网 络 中 ， 用 户 能 够 使 用 
他 们 专 有 的 卫 地 址 而 无 需 网 络 地 址 翻译 (NAT) 。 

这 种 网 络 结构 目前 可 文 持 多 种 VPN,， 可 减轻 每 一 个 新 网 络 实施 工作 的 负担 。 这 种 方案 易于 
进行 VPN 的 添加 、 移 动 和 改变 。 如 果 茶 个 公司 需要 在 自己 的 VPN 中 增加 一 个 站 点 ， 服 务 提 供 
商 只 需 告 诉 客户 桨 设备 的 路 由 器 如 何 与 网 络 连接 ， 并 配置 LSR 识别 来 自 于 PE 的 VPN 成 员 ， 
BGP 会 目 动 更 新 VPN 成 员 。 与 增加 一 台 设 备 需 要 大 量 操作 的 覆盖 VPN 相 比 , 这 种 方案 要 简单 、 
迅速 且 便 宜 得 多 。 


5.7 ”加 密 和 数字 签名 


信息 加 密 、 认 证 和 数字 签名 技术 是 网 络 安 全 防范 技术 中 的 有 效 措 施 ， 在 保证 数据 和 系统 的 
机 密 性 、 可 午 性 、 可 用 性 方面 发 挥 痢 巨 大 的 作用 。 


5.7.1 文件 加 蜜 技术 


文件 加 密 是 一 种 常见 的 密码 学 应 用 。 文 件 加 密 技 术 是 下 面 三 种 技术 的 结合 : 

(1) 密码 技术 ， 包 括 对 称 密码 和 非 对 称 密 码 ， 可 能 是 分 组 密码 ， 也 可 能 采用 序列 密码 。 文 
件 加 密 的 底层 技术 是 数据 加 密 。 

(2) 操作 系统 。 文 件 系统 是 操作 系统 的 重要 组 成 部 分 ， 对 文件 的 输入 输出 操作 或 文件 的 组 
织 和 存储 形式 进行 加 密 也 是 文件 加 密 的 常用 手段 。 对 动态 文件 进行 加 密 尤 其 需要 熟悉 文件 系统 
的 细节 。 文 件 系统 与 操作 系统 其 他 部 分 的 关联 ， 如 设备 管理 、 进 程 管 理 、 内 存 管理 等 ， 都 可 被 
用 于 文 作 加 等。 

3) 文件 分 析 技 术 。 不 同 的 文件 类 型 的 语义 操作 体现 在 对 该 文件 类 型 进行 操作 的 应 用 程序 
中 ， 通 过 分 析 文 件 的 语法 结构 和 关联 的 应 用 程序 代码 而 进行 一 些 置 换 和 替换 ， 在 实际 应 用 中 经 
第 可 以 达到 一 定 的 文件 加 密 效果 。 

利用 以 上 技术 ， 文 件 加 密 主 要 包括 以 下 内 容 : 

(1) 文件 的 内 容 加 密 ， 通 常 采 用 二 进 制 加 密 的 方法 。 

(2) 文件 的 属性 加 密 。 

(3) 文件 的 输入 输出 和 操作 过 程 的 加 密 ， 即 动态 文件 加 密 。 

通 弟 一 个 完整 的 文件 加 密 系 统 包 括 操作 系统 的 核心 驱动 、 设 备 接口 、 密 码 服务 组 件 和 应 用 
层 几 个 部 分 。 


5.7.2_EFS 文件 加 密 技 术 


1. EFS 概述 


通过 文件 加 密 ， 可 以 保护 敏感 数据 。Windows Server 2003 通过 登录 认证 和 NTES 权限 可 控 
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制 用 户 对 文件 的 非 授权 存 取 ， 但 如 条 用 户 在 同一 台 计 算 机 上 安装 并 启动 不 同 的 操作 系统 ， 从 而 
统 过 登录 认证 和 NTFS 的 权限 设置 ， 此 时 存放 在 硬盘 上 的 数据 就 会 变 得 非常 脆弱 。 为 消除 这 种 
安全 漏洞 ，Microsoft 提供 了 加 密 文 件 系统 EFS (Encrypting File System) ， 与 NTFS 文件 系统 
么 密集 成 ， 给 敏感 数据 提供 深层 保护 。 当 文件 被 EFS 加 密 后 ， 只 有 加 密 用 户 和 数据 恢复 代理 用 
户 才 能 解密 加 密 文 件 ， 其 他 用 户 即 使 取得 该 文件 的 所 有 权 也 不 能 解密 。 

Microsoft 公司 的 EFS 使 用 对 称 密 钥 和 非 对 称 密 钥 技术 相 结合 的 方法 来 提供 文件 的 保护 ， 
对 称 密 钥 用 于 加 密 文件 ， 非 对 称 密 钥 中 的 公 钥 用 于 加 密 对 称 密 钥 。 

在 使 用 EFS 时 ，EFS 首先 检查 用 户 是 否 有 有 效 的 EFS 用 户 证 书 ， 如 果 没 有 ，EFS 请 求 在 
线 企 业 CA 发 布 证 书 ， 如 果 企 业 CA 不 可 得 到 ，EFS 就 为 用 户 创建 一 个 证 书 和 用 于 以 后 EFS 操 
作 的 公 / 私 钥 对 。 

EFS 加 密 发 生 在 文件 系统 层 而 不 在 应 用 层 ， 因 此 ， 其 加 密 和 解密 过 程 对 加 密 用 户 和 应 用 程 
序 是 透明 的 。 用 户 在 使 用 加 密 文 件 时 ， 感 觉 与 普通 文件 一 样 。 如 打开 文件 调用 Win32 APIs 的 
CreateFileg0 和 OpenFileO0 函 数 ， 读 文件 调用 ReadFileO0、ReadFileEx0 和 ReadFileScatterO 函 数 ， 
写 文 件 调用 WriteFile0、WriteFileEx0 和 WriteFileScatterO 函 数 等 。 


2.EFS 的 基本 原理 和 结构 


当 用 户 生 成 加 密 文 件 时 ， 随 机 密码 产生 器 生成 一 个 对 称 密 钥 FEK，EFS 使 用 FEK 加 密 文 
件 中 的 数据 ， 然 后 使 用 EFS 用 户 证 书 中 的 公开 密 钥 加 密 FEK 得 到 数据 解密 域 DDF (Data 
Decryption Fields) ， 再 使 用 数据 恢复 代理 DRA (Data Recovery Agent) 证 书 中 的 公 钥 加 密 FEK， 
由 于 数据 恢复 代理 可 有 多 个 ， 所 以 可 能 存在 多 个 不 同 DRA 证 书 中 公 钥 加 密 的 FEK， 所 有 这 些 
经 DRA 证 书 中 公 钥 加 密 的 FEK 组 合 在 一 起 得 到 数据 恢复 域 DRF (Data Recovery Fields) 。 最 
后 EFS 将 DDF、DRF 作为 加 密 文件 头 和 经 FEK 加 密 的 数据 组 合 得 到 加 密 文件 ,其 结构 如 图 $-23 


所 示 。 
经 用 户 公 钥 加 密 | 经 代理 公 钥 加 密 经 FEK 加 密 的 
的 FEK 的 FEK 数据 
DDF DRF 


文件 头 
图 $-23  EFS 加 密 文 件 的 结构 


为 保证 EFS 系统 对 用 户 透 明 的 操作 ，EFS 组 件 存在 于 操作 系统 的 多 个 层 上 ， 主 要 分 为 用 户 
模式 和 内 核 模 式 。 用 户 模式 主要 包括 Win32 API 层 、EFS 服务 (EFS Service) 、 微 软 加 密 应 用 
程序 编程 接口 CryptoAPI 〈Cryptographic Application Programming Interface) 、 加 密 服 务 提 供 者 
CSP《〈Cryptographic Service Provider) 。 内 核 模 式 主 要 包括 EFS 驱动 (CEFS Driver) 、EFS 文件 
系统 运行 库 FSRTL (File System Run-Time Library) 。 其 关系 如 图 $-24 所 示 。 
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ETIDE CS 


用 于 所 有 密 钥 管 理 支 持 的 LPC 通 信 


FSRTEL 呼 叫 
人 硬盘 
图 $-24 EFS 结构 
下 面 对 EFS 各 组 件 进行 介绍 。 
1 ) CSP 


在 Windows Server 2003 中 ，EFS 使 用 默认 的 对 称 密 钥 加 密 算 法 AES (Advanced Encryption 
Standard) ， 其 密 钥 长 度 达 到 256 位 ， 该 加 密 强 度 足 以 保证 一 般 用 户 的 数据 安全 需求 。 在 非 对 
称 密 钥 方面 ，EFS 默认 使 用 Microsoft Base Provider， 其 默认 密 钥 长 度 为 1024 位 ， 可 以 通过 修 
改 注 册 表 HKLMNASOFTWARE\Microsofh WindowsNTACurrent Version\EFS\RSAKeyLength 中 的 
DWORD 键 值 来 增加 加 密 强 度 ，DWORD 键 值 的 范围 从 1024 位 到 16384 位 。 要 注意 的 是 ， 如 
果 设 置 值 大 于 1024，EFS 将 使 用 Microsoft Enhanced Provider 生成 密 钥 。 

2) CryptoAPI 

CryptoAPI 包含 一 组 函数 , 并 通过 EFS 服务 为 Win32 层 提供 服务 , 包括 公 / 私 铀 和 对 称 密 铂 
的 密 钥 生 成 、 密 钥 管 理 与 密 钥 的 安全 存储 、 密 钥 交 换 、 加 密 、 解 密 、Hash 值 计 算 、 数 字 签 名 、 
签名 验证 等 。 在 使 用 时 ， 对 EFS 来 说 ，CryptoAPI 中 的 所 有 操作 都 是 暗箱 式 的 ，EFS 只 要 调用 
相应 函数 来 实现 相应 功能 ， 而 不 必 关 心 实现 的 细节 。 

3) Win32 层 

Win32 层 实 质 是 一 组 Win32 APIs, 它 为 应 用 程序 提供 编程 接口 , 如 加 密 明 文 函数 EncryptFile (0)、 
解密 密 文 国 数 DecryptFile0、 复 制 加密 文 件 信息 函数 DuplicateEncryptionInfoFile0、 加 密 文件 状态 函 
数 FileEncryptionStatusO 等 ， 这 些 函 数 的 详细 调用 方法 可 参阅 MSDN Library for Visual Studio.NET 
2003。 所 有 的 Win32 API 由 系统 动态 链接 库 Advapi32.dll 提供 。 

4) EFS 服务 

EFS 服务 调用 CryptoAPI 来 为 一 个 数据 文件 获得 文件 加 密 密 钥 FEK， 再 调用 CryptoAPI 获 
得 EFS 用 户 证 书 中 的 公 钥 和 DRA 证 书 中 的 公 铀 ， 分 别 加 密 FEK 形成 DDF 和 DRF。 同 时 ， 通 
过 本 地 过 程 调用 LPC 〈Local Procedure Call) 通信 模块 与 EFS 驱动 传递 FEK、DDF 和 DRF。 
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5$) EFS 驱动 

EFS 驱动 与 NTFS 文件 系统 紧密 集成 ， 并 位 于 NTFS 逻辑 上 的 最 高 层 。EFS 驱动 和 EFS 服 
务 通信 ,， 请求 FEK、DDF 和 DRF,， 然 后 再 把 这 些 信 息 传 递 给 FSRTL 实现 各 种 透明 的 文件 操作 ， 
如 打开 文件 、 读 文件 、 写 文件 等 。 

6) EFS FSRTL 

EFS FSRTL 实现 由 NTFS 呼叫 要 求 处 理 的 各 种 文件 系统 操作 ， 如 读 、 写 、 打 开 加 密 文件 和 
文件 数据 在 写 入 或 从 磁盘 中 读 出 时 的 加 密 、 解 密 及 恢复 数据 等 操作 。 在 EFS 结构 中 ，EFS 驱动 
和 EFS FSRTL 以 一 个 组 件 出 现 , 但 它们 之 间 不 直接 通信 ， 而 是 通过 NTFS 文件 控制 呼叫 机 制 来 
彼此 传递 信息 ， 这 样 确保 了 NTEFS 能 参与 到 所 有 的 文件 操作 中 。 通 过 NTFS 文件 控制 呼叫 机 制 
实现 的 操作 包括 写 DDF、DRF 及 传递 在 EFS 服务 中 计算 得 到 的 FEK 等 。 


3.EFS 加 客 解 客 文 件 的 过 程 


EFS 本 地 加 密 文件 的 过 程 如 下 : 

(1) EFS 服务 调用 FileEncryptionStatusO 确认 文件 是 否 可 以 加 密 ， 系 统 文 件 和 存放 
于 %systemroot% 文 件 夹 中 的 文件 不 能 被 加 密 。 大 文 件 可 加 密 ，EFS 服务 独占 式 地 打开 文件 。 

(2) EFS 服务 调用 CryptoAPI 随机 产生 一 个 对 称 密 钥 FEK。 

(3) EFS 目 动 从 用 户 证 书 中 获取 公 钥 并 使 用 RSA 加 密 算 法 加 密 FEK 得 到 DDF;， EFS 目 动 
从 DRA 证 书 中 获取 公 钥 并 使 用 RSA 加 密 算法 加 密 FEK， 若 有 多 个 DRA， 则 用 每 个 DRA 证 书 
中 的 公 钥 加 密 FEK 的 每 个 备份 ,所 有 经 DRA 公 钥 加 密 后 的 FEK 形成 DRF。 其 中 DRA 证 书 区 
别 于 EFS 用 户 证 书 的 标志 是 证 书 中 的 EKU (Enhanced Key Usage) 字段 。 所 有 的 DDFE、DRE， 
再 加 上 EFS 版 本 信息 和 加 密 算 法 信息 形成 EFS 元 数据 。 

(4) EFS 在 一 个 临时 系统 文件 夹 下 建立 一 个 临时 文件 ， 把 要 加 密 的 源 文 件 中 所 有 数据 流 复 
制 到 临时 文件 。 然 后 ，EFS 将 EFS 元 数据 写 入 源 文件 ， 再 将 临时 文件 中 的 数据 利用 FEK 通过 
AES 加 密 算 法 逐 块 加 密 后 形成 加 密 块 链 附 加 到 源 文件 ， 最 后 形成 加 密 文 件 。 因 为 元 数据 内 容 通 
种 小 于 1024 字 节 ， 而 用 AES 加 密 算 法 加 密 数 据 后 没有 增加 额外 的 数据 ， 所 以 加 密 文 件 的 大 小 
与 源 文件 相差 无 几 。 

(5$) EFS 校 验 生 成 的 加 密 文 件 ， 大 校 验 成 功 ， 则 删除 临时 文件 。 

当 用 户 保存 一 个 新 文件 到 加 密 文件 夹 时 ， 其 过 程 除 没 有 建立 临时 文件 外 ， 其 余 类 似 于 上 述 过 程 。 

EFS 本 地 解密 文件 的 过 程 如 下 : 

(1) NTEFS 上 发送 一 个 解密 请 求 呼叫 到 EFS 驱动 。 

2) EFS 驱动 从 加 密 文 件 获 得 DDF 并 传递 给 EFS 服务 。 

63) EFS 服务 从 用 户 配 置 文件 中 获得 用 户 的 私 钥 解密 DDF 得 到 FEK， 再 将 FEK 传递 给 
EFS 驱动 。 

(4) EFS 驱动 使 用 FEK 解密 加 密 文件 中 应 用 程序 需要 的 部 分 。 要 注意 的 是 ， 因 为 EFS 使 
用 加 密 块 链 ， 所 以 EFS 张 动 只 使 用 FEK 解密 应 用 程序 需要 的 部 分 。 

($) EFS 驱动 将 解密 后 数据 传递 到 NTFS， 再 由 NTFS 发 送 到 应 用 程序 。 
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5.7.3 ”数字 签名 


1. 可 用 的 数字 签名 的 条 件 


可 用 的 数字 签名 应 保证 以 下 几 个 条 件 : 

(1) 签名 是 可 信 的 。 签 名 使 文件 的 接收 者 相信 签名 者 是 慎重 地 在 文件 上 签字 的 。 

(2) 签名 不 可 伪造 。 签 名 证 明 是 签字 者 而 不 是 其 他 人 慎重 地 在 文件 上 签字 。 

(3) 签名 不 可 重用 。 签 名 是 文件 的 一 部 分 ， 不 法 之 徒 不 可 能 将 签名 移 到 不 同 的 文件 上 。 

(4) 签名 的 文件 是 不 可 改变 的 。 在 文件 签名 后 ， 文 件 不 能 改变 。 

(5$) 签名 是 不 可 抵赖 的 。 签 名 和 文件 是 物理 的 东西 。 签 名 者 事后 不 能 声称 他 没有 签 过 名 。 

在 现实 生活 中 ， 关 于 签名 的 这 些 特性 没有 一 个 是 完全 真实 的 。 签 名 能 够 被 伪造 ， 签 名 能 
从 文章 中 盗用 移 到 另 一 篇 文章 中 ， 文 件 在 签名 后 能 够 被 改变 。 在 计算 机 上 做 这 种 事情 ， 同 样 存 
在 一 些 问题 。 首 先 计 算 机 文件 易于 复制 。 即 使 某 人 的 签名 难以 伪造 〈 人 例如， 手写 签名 的 图 形 ) ， 
但 是 从 一 个 文件 到 另 一 个 文件 ， 前 切 和 粘贴 有 效 的 签名 都 是 很 容易 的 。 这 种 签名 并 没有 什么 意 
义 。 其 次 文件 在 签名 后 也 易于 修改 ， 并 且 不 会 留 下 任何 修改 的 痕迹 。 为 解决 这 些 问 题 ， 数 字 签 
名 技术 就 应 运 而 生 。 

2. 对 称 密 钥 签 名 


Alice 想 对 数字 消息 签名 ， 并 发 送 给 Bob。 在 Trent 和 对 称 密码 系统 的 帮助 下 ， 她 能 对 数字 
消息 签名 ， 并 安全 地 发 送 给 Bob。 

Trent 是 一 个 有 权 的 、 值 得 依赖 的 仲裁 者 。 他 能 同时 与 Alice 和 Bob《〈 也 可 以 是 其 他 想 对 数 
据 文件 签名 的 任何 人 ) 通信 。 他 和 Alice 共享 秘密 密 钥 KA， 和 Bob 共享 另 一 个 不 同 的 秘密 密 铀 
Ks。 这 些 密 钥 在 协议 开始 前 就 早已 建 好 ， 并 且 为 了 多 次 签名 可 多 次 重复 使 用 。 

利用 对 称 密 钥 签名 进行 通信 的 过 程 如 下 : 

Step1: Alice 用 KKA 加 密 她 准备 发 送 给 Bob 的 信息 ， 并 把 它 传送 给 Trent。 

Step2: Trent 用 开 A 解 密 信息 。 

Step3: Trent 把 这 个 解密 信息 和 他 收 到 Alice 信息 的 声明 ， 一 起 用 Ke 加 密 。 

Step4: Trent 把 加 密 的 信息 包 传 给 Bob。 

StepS: Bob 用 KB 解密 信息 包 ， 他 就 能 读 Alice 所 发 的 信息 和 Trent 的 证 书 ， 证 明 信 息 来 自 
Alice。 

整个 过 程 如 图 $-25 所 示 。 

Trent 怎么 知道 信息 是 从 Alice 而 不 是 从 其 他 冒名 顶替 者 那里 来 的 呢 ? 是 从 信息 的 加 密 推 朵 
出 来 的 。 由 于 只 有 他 和 Alice 共享 他 们 两 人 的 秘密 密 钥 ,所 以 只 有 Alice 能 用 这 个 密 钥 加 密 信息 。 

对 该 过 程 进行 分 析 : 

(1) 这 个 签名 是 可 信 的 。Trent 是 可 信 的 仲裁 者 ， 并 且 知 道 消 息 是 从 Alice 那里 来 的 ，Trent 
的 证 书 对 Bob 起 着 证 明 的 作用 。 


NS 
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(2) 这 个 签名 是 不 可 伪造 的 。 只 有 Alice (和 Trent， 但 每 个 人 都 相信 Trent) 知道 玉 、， 
此 只 有 Alice 才能 把 用 玉 A 加 密 的 信息 传 给 Trent。 如 果 有 人 冒充 Alice，Trent 在 Step2 马上 就 会 
察觉 ， 并 且 不 会 去 证 明 它 的 可 靠 性 。 

(3) 这 个 签名 是 不 能 重新 使 用 的 。 如 果 Bob 想 把 Trent 的 证 书 附 到 另 一 个 信息 上 ，Alice 
可 能 就 会 大 叫 受 骗 了 。 仲 裁 者 〈 可 能 是 Trent 或 者 可 存 取 同 一 信息 的 完全 不 同 的 仲裁 者 ) 就 会 
要 求 Bob 同时 提供 信息 和 Alice 加 密 后 的 信息 ,然后 仲裁 者 就 用 玉 A 加 密 信息 , 他 马上 就 会 发 现 
它 与 Bob 提供 的 加 密 信息 不 相同 。 很 显然 ，Bob 由 于 不 知道 K ， 他 不 可 能 提供 加 密 信息 使 它 
与 用 KA 加 密 的 信息 相符 。 

(4) 签名 文件 是 不 能 改变 的 。Bob 想 在 接收 后 改变 文件 ，Trent 就 可 用 刚才 描述 的 同样 的 办 
法 证 明 Bob 的 愚蠢 行为 。 

(53) 签名 是 不 能 抵赖 的 。 即 使 Alice 以 后 声称 她 没有 发 信息 给 Bob，Trent 的 证 书 会 说 明 不 
是 这 样 的 。 因 为 Trent 是 每 个 人 都 信任 的 ， 他 说 的 都 是 正确 的 。 

Alice Trent Bob 
BEK (1M) 


BE (CDK (CEK (M) ) ，EK (CNM) ) 开 


(M，EK (M) ) 
$-2$ Alice 和 Bob 利用 对 称 密 钥 签名 进行 的 通信 过 程 


如 条 Bob 想 把 Alice 签名 的 文件 给 Carol 阅读 ， 他 不 能 把 上 自己 的 秘密 密 钥 交 给 她 ， 他 还 得 
通过 Trent。 有 共 体 过 程 如 下 : 

Step1: Bob 把 信息 和 Trent 关于 信息 是 来 自 Alice 的 声明 用 Ke 加 密 ， 然 后 送 回 给 Trent。 

Step2: Trent 用 Kb 解密 信息 包 。 

Step3: Trent 检 碍 他 的 数据 库 ， 并 确认 原始 信息 是 从 Alice 那里 来 的 。 

Step4: Trent 用 他 和 Carol 共享 的 密 钥 Kc 重新 加 密 信息 包 ， 并 把 信息 包 送 给 Carol。 

Step$: Carol 用 KK- 解密 信息 包 ， 她 就 能 阅读 信息 和 Trent 证 实 信 息 来 目 Alice 的 证 书 。 

这 些 协 议 是 可 行 的 ， 但 对 Trent 来 说 是 非常 耗 时 的 。 他 不 得 不 整 天 加 密 、 解 密 信 息 ， 在 彼 
此 想 发 送 签名 文件 的 每 一 对 人 之 间 充 当中 间 人 。 他 必须 备 有 数据 库 信 息 《 虽 然 可 以 通过 把 发 送 
者 加 密 的 信息 的 拷贝 发 送 给 接收 者 来 避免 ) 。 在 任何 通信 系统 中 ， 即 使 他 是 坚 无 思想 的 软件 程 
序 ， 他 都 是 通信 瓶 领 。 更 困难 的 是 产生 和 保持 像 Trent 那样 的 网 络 用 户 都 信任 的 人 。Trent 必须 
是 完善 无 缺 的 ， 即 使 他 在 100 万 次 签名 中 只 犯 了 一 个 错误 ， 也 将 不 会 有 人 再 信任 他 。Trent 必须 
完全 安全 的 ， 如 有 条 他 的 秘密 密 钥 数据 库 泄 漏 了 ， 或 有 人 能 修改 他 的 程序 代 但 ， 所 有 人 的 签名 
能 是 完全 无 用 的 。 一 些 声称 是 数 年 前 签名 的 假 文 件 便 可 能 出 现 ， 这 将 引起 混乱 。 理 论 上 这 种 
协议 或 许 是 可 行 的 ， 但 实际 上 不 能 很 好 地 运转 。 
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3. 公开 密 钥 签名 


在 对 称 密码 体制 中 ， 由 于 加 密 密 钥 和 解密 密 钥 是 可 以 相互 推导 的 ， 密 钥 暴 露 会 使 系统 变 得 
不 安全 。 对 称 密码 体制 的 一 个 严重 缺陷 在 于 : 通信 双方 在 传送 密 文 之 前 必须 要 使 用 一 个 安全 信 
道 预 先 通信 密 钥 玉 。 在 实际 中 找到 一 个 满足 要 求 的 安全 信道 是 很 不 容易 的 ， 一 般 都 是 通过 物理 
方式 交换 密 钥 , 如 在 约定 地 点 秘密 交换 密 钥 。 而 公 钥 密码 体制 可 以 很 容易 地 解决 密 钥 交 换 问 题 。 
在 公 钥 密码 系统 中 ， 解 密 密 钥 和 加 密 密 钥 是 不 同 的 ， 并 且 很 难 从 一 个 推导 出 另外 一 个 。 

密码 算法 的 密 钥 都 是 一 对 的 ， 一 个 是 私 铀 ， 用 户 自 动 保 存 并 保密 ;另外 一 个 是 公 钥 ， 用 户 
可 以 将 它 分 发 给 任何 需要 的 人 。 这 样 通信 双方 不 用 预先 交换 密 钥 就 可 以 建立 保密 通信 了 。 

公开 密 钥 签名 的 基本 协议 过 程 如 图 $-26 所 示 。 有 具体 流程 如 下 : 

Step1: Alice 用 她 的 私 钥 对 文件 加 密 ， 从 而 对 文件 签名 。 

Step2: Alice 将 签名 的 文件 传 给 Bob。 

Step3: Bob 用 Alice 的 公 钥 解密 文件 ， 从 而 验证 签名 。 


DK (FEK (M) ) 
图 $-26 ”Alice 和 Bob 利用 公开 密 钥 签名 进行 的 通信 过 程 


这 个 协议 比 以 前 的 算法 更 好 。 不 需要 Trent 去 签名 和 验证 。 他 只 需要 证 明 Alice 的 公 钥 的 确 是 她 
的 。 甚 至 协议 的 双方 不 需要 Trent 来 解决 争端 ， 如果 Bob 不 能 完成 Step3， 那 么 他 知道 签名 是 无 效 的 。 

数字 签名 的 基本 过 程 如 图 $5-27 所 示 。 这 个 协议 也 满足 我 们 期 符 的 特征 : 

(1) 签名 是 可 信 的 。 当 Bob 用 Alice 的 公 钥 验证 信息 时 ， 他 知道 是 由 Alice 签名 的 。 


一 一 


ee 


( 季 ，) 


图 $-27 ”数字 签名 的 基本 过 程 
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(2) 签名 是 不 可 伪造 的 。 只 有 Alice 知道 她 的 私 钥 。 

(3) 签名 是 不 可 重用 的 。 签 名 是 文件 的 函数 ， 并 且 不 可 能 转换 成 另外 的 文件 。 

(4) 被 签名 的 文件 是 不 可 改变 的 。 如 果 文 件 有 任何 改变 ， 文 件 就 不 可 能 用 Alice 的 公 钥 验证 。 
(5$) 签名 是 不 可 抵赖 的 。Bob 不 用 Alice 的 帮助 就 能 验证 Alice 的 签名 。 


4. 基于 消息 摘要 的 签名 


在 实践 中 ， 采 用 公 钥 密码 算法 对 长 文件 签名 效率 太 低 。 为 了 节约 时 间 ， 数 字 签 名 协议 经 常 
和 单 向 Hash 函数 一 起 使 用 。Alice 并 不 对 整个 文件 签名 ， 只 对 文件 的 Hash 值 签 名 。 在 这 个 协 
议 中 ， 单 同 Hash 函数 和 数字 签名 算法 是 事先 束 协 商 好 了 的 。 有 具体 过 程 如 下 : 

Step1: Alice 产生 文件 的 单 辐 Hash 值 。 

Step2: Alice 用 她 的 私 钥 对 Hash 加 密 ， 和 赁 此 表示 对 文件 签名 。 

Step3: Alice 将 文件 和 Hash 签名 送 给 Bob。 

Step4: Bob 用 Alice 发 送 的 文件 产生 文件 的 单 网 Hash 值 ， 然 后 用 数字 签名 算法 对 Hash 值 
运算 , 同时 用 Alice 的 公 钥 对 签名 的 Hash 解密 。 如 末 签 名 的 Hash 值 与 目 己 产生 的 Hash 值 匹 配 ， 
签名 吏 是 有 效 的。 

基于 消息 摘要 的 数字 签名 的 基本 过 程 如 图 $-28 所 示 。 


ws ah 
ns 色 f 
ee 


图 5-28 ”基于 消息 摘要 的 签名 过 程 


基于 消息 摘要 的 签名 计算 速度 大 大 地 提高 了 , 并 且 两 个 不 同 的 文件 有 相同 的 160 比特 Hash 
值 的 概率 为 12。 因 此 ， 使 用 Hash 函数 的 签名 和 文件 签名 一 样 安全 。 如 果 使 用 非 单 四 Hash 函 
数 ， 可 能 很 容易 产生 多 个 文件 使 它们 的 Hash 值 相同 ， 这 样 对 一 特定 的 文件 签名 就 可 复制 用 于 
对 大 量 的 文件 签名 。 

该 协议 还 有 其 他 优点 。 首 先 ， 签 名 和 文件 可 以 分 开 保存 。 其 次 ， 接 收 者 对 文件 和 签名 的 存 
储量 要 求 大 大 降低 了 。 档 案 系 统 可 用 这 类 协议 来 验证 文件 的 存在 而 不 需 保 存 它 们 的 内 容 。 中 央 
数据 库 只 存储 各 个 文件 的 Hash 值 ， 根 本 不 需要 看 文件 。 用 户 将 文件 的 Hash 值 传 给 数据 库 ， 然 
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后 数据 库 对 提交 的 文件 加 上 时 间 标 记 并 保存 。 如 果 以 后 有 人 对 茶 文 件 的 存在 发 生 和 争执 ， 数 据 库 
可 通过 找到 文件 的 Hash 值 来 解决 争 疹 。 这 里 可 能 牵连 到 大 量 的 隐秘 : Alice 可 能 有 茶 文 件 的 版 
权 ， 但 仍 保持 文件 的 秘密 。 只 有 当 她 想 证 明 她 的 版 权时 ， 她 才 不 得 不 把 文件 公开 。 


5.8 网 络 安全 应 用 协议 


开放 的 互联 网 在 快速 发 展 的 同时 ， 也 因 其 “开放 ” 带 来 了 诸多 安全 隐患 。 网 络 上 的 各 种 应 
用 在 数据 传输 过 程 中 ， 采 用 明文 或 者 弱 加 密 传 输 ， 造 成 信息 丢失 或 者 “失窃 ”， 其 威胁 不 可 谓 
不 大 。 随 着 互联 网 的 不 断 发 展 ， 人 们 通过 互联 网 办 理 日 常 业务 的 需求 量 飞 速 增长 ， 如 网 上 购物 、 
即时 通信 、 网 上 银行 等 ， 这 也 对 网 络 安全 和 信息 安全 提出 了 更 高 的 要 求 。 本 节 讨论 在 加 强 互联 
网 安全 方面 的 几 个 常用 协议 。 


5.8.1 SSL 协议 


1.SSL 协议 概述 


SSL 〈Security Socket Layer) 安全 套 接 层 协议 是 网 景 (Nestscape) 公司 提出 的 基于 Web 应 
用 的 安全 协议 。SSL 协议 指定 了 一 种 在 应 用 层 协 议和 TCP/PP 协议 之 间 提 供 数 据 安 全 性 分 层 的 
机 制 ， 它 为 TCP/P 连接 提供 数据 加 密 、 服 务 器 认证 、 消 息 完 整 性 以 及 可 选 的 客户 机 认证 ， 可 
以 在 两 个 通信 应 用 程序 之 间 提 供 数 据 的 加 密 性 和 可 靠 性 。SSL 能 在 TCP/P 和 应 用 层 间 无 缝 实 
现 Pnternet 协议 栈 处 理 ， 而 不 对 其 他 协议 层 产 生 任何 影 啊 。 

1995 年 ，Netscape 公司 提出 了 SSL2.0 之 后 ， 很 快 就 成 为 一 个 事实 上 的 标准 ， 并 为 众多 的 
厂商 所 采用 。1996 年 ，Netscape 公司 发 布 了 SSL3.0， 该 版 本 增加 了 对 除了 RSA 算法 之 外 的 其 
他 算法 的 文 持 和 一 些 安 全 特性 ， 并 且 修 改 了 前 一 个 版 本 中 一 些小 的 问题 ， 相 比 SSL2.0 更 加 成 
熟 和 稳定 。1999 年 1 月 IETF 将 SSL 做 了 标准 化 , 即 RFC 2246，Netscape 公司 宣布 支持 该 开放 
的 标准 用 在 WAP 的 环境 下 ， 由 于 手机 及 手持 设备 的 处 理 和 存储 能 力 有 限 ，WAP 论坛 在 TLS 的 
基础 上 做 了 WTLS 协议 〈Wireless Transport Layer Security) ， 以 适应 无 线 的 特殊 环境 。 

SSL 协议 提供 的 安全 连接 具有 以 下 几 个 基本 特性 : 

(1) 连接 安全 。 在 初始 化 握手 结束 后 ，SSL 使 用 加 密 方法 来 协商 一 个 秘密 的 密 铀 ， 数 据 加 
密使 用 对 称 密 钥 技术 〈 如 DES、RC4 等 ) 。 

《2) 喘 份 认证 。 可 以 通过 非 对 称 《〈 公 钥 ) 加 密 技术 〈 如 RSA、DSA 等 ) 认证 对 方 的 身份 。 

(3) 可 靠 性 连接 。 传输 的 数据 包含 有 数据 完整 性 的 校 验 码 ,使 用 安全 的 哈 希 函 数 (如 SHA、 
MD5 等 ) 计算 校 验 码 。 

SSL 协议 主要 包括 记录 协议 、 告 警 协议 和 握手 协议 。 下 面 分 别 进行 介绍 。 


2.SSL 记录 协议 
SSL 本 上身 是 一 个 分 层 协议 ， 每 一 层 的 消息 块 都 包含 长 度 、 描 述 和 内 容 。SSL 在 传输 前 将 消 
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息 打 包 成 消息 块 ， 在 此 过 程 中 可 进行 压缩 、 生 成 MAC、 加 密 等 。 接 收 方 则 对 消息 块 进行 解压 、 
MAC 验证 和 解密 ， 并 进行 重 装配 ， 再 传 给 上 一 层 。 这 些 是 通过 记录 协议 层 来 规定 的 。SSL 协 
议 的 记录 协议 层 在 客户 机 和 服务 器 之 间 传 输 应 用 数据 和 SSL 控制 数据 ， 即 用 于 交换 应 用 数据 ， 
包括 了 记录 头 和 记录 数据 格式 的 规定 。 在 SSL 协议 中 ， 所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 
录 是 由 记录 头 和 长 度 不 为 0 的 记录 数据 组 成 的 。SSL 的 记录 数据 包含 三 个 部 分 ， MAC 数据 、 
实际 数据 和 粘贴 数据 。 所 有 的 SSL 通信 和 包括 握手 消息 、 安 全 空白 记录 和 应 用 数据 都 使 用 SSL 
记录 层 。 应 用 程序 消息 被 分 割 成 可 管理 的 数据 块 ， 还 可 以 压缩 ， 并 产生 一 个 MAC (消息 认证 
代码 ) ， 然 后 将 结果 加 密 并 传输 。 接 收 方 接收 数据 并 对 它 解 密 ， 校 验 MAC， 解 压 并 重新 组 合 ， 
再 把 结果 提供 给 应 用 程序 协议 。 
SSL 记录 协议 的 操作 过 程 如 图 $-29 所 示 。 


应 用 数据 

分 段 /重组 “| DAIE1|1| DATFE1 | 
压缩 

计算 MAC 

加 密 人 


丰 - 


封装 SSL 记 “加 
录 协 议 衣 部 “ 王 - 
图 $-29 SSL 记录 协议 的 操作 过 程 
具体 过 程 如 下 : 


(1) 分 段 。 对 应 用 层 数据 都 要 进行 分 段 ， 使 其 符合 规定 的 长 度 。 
(2) 压缩 。 压 缩 是 可 选 的 ，SSL 没有 指定 压缩 算法 ， 压 内 必 须 是 无 损 的 。 
(3) 给 压缩 后 的 数据 计算 消息 验证 码 。MAC 使 用 下 面 公 式 进 行 计算 : 


HashCMAC write _ Secrettpad 2+hashC(MAC write Secrettpad 1+ seq_ num+ SSLCompressed. 
type+SSLCompressed.length+SSLCompressed.fragment) ) 

其 中 ，MAC write _secret 为 客户 服务 器 共享 的 秘密 ; 

pad 1 为 字符 0x36 重复 48 次 (MD5) 或 40 次 CSHA) ; 

pad 2 为 字符 0x$c 重复 48 次 (MD5S) 或 40 次 CSHA) ; 

seq_num 为 消息 序列 号 ; 

hash 为 哈 希 算法 ; 

SSLCompressed.type 为 处 理 分 段 的 高 层 协 议 类 型 ; 

SSLCompressed.length 为 压缩 分 段 的 长 度 ; 


国 324 国生 网络 规 划 设计 师 教程 第 2 版 ) 


e。 SSLCompressed.fragment 为 压缩 分 段 ， 没 有 压缩 时 ， 就 是 明文 分 段 。 
(4) 使 用 对 称 加 密 算 法 给 添加 了 MAC 的 压缩 消息 加 密 。 
(5) 添加 SSL 记录 协议 首部 。 


3. 告警 协议 


告警 协议 用 来 为 对 等 实体 传递 SSL 的 相关 警告。 用 于 标示 在 什么 时 候 发 生 了 错误 或 两 个 主 
机 之 间 的 会 话 在 什么 时 候 终止 。 当 其 他 应 用 协议 使 用 SSL 时 ， 根 据 当 前 的 状态 来 确定 。 告 警 消 
县 都 封装 成 8 位 比特 ， 同 时 进行 编码 、 压 绽 和 加 密 。 


4. 握手 协议 


SSL 握手 协议 是 SSL 中 最 复杂 的 部 分 。SSL 握手 协议 位 于 SSL 记录 协议 层 之 上 ， 用 于 产 
生 会 话 状态 的 密码 参数 ， 人 允许 服务 器 和 客户 机 相互 验证 、 协 商 加 密 和 MAC 算法 及 秘密 密 铀 ， 
用 来 保护 在 SSL 记录 中 传送 的 数据 。 握 手 协议 是 在 应 用 程序 传输 之 前 使 用 的 。 当 SSL 客户 奖 与 
服务 器 第 一 次 开始 通信 时 ， 它 们 要 确认 协议 版 本 的 一 致 性 ， 选 择 加 密 算 法 和 认证 方式 ， 并 使 用 
公 钥 技术 来 生成 共享 密 铀 。 

这 个 过 程 可 以 总 结 如 下 : 

(1) 客户 方向 服务 方 发 送 一 个 CH (Client Hello) 消息 ， 服 务 方 以 一 个 SH (Server Hello ) 
消息 应 答 ， 否 则 通信 中 止 。CH 和 SH 包括 协议 版 本 、 会 话 卫 、 密 码 配置 和 压缩 方法 等 内 容 ， 
此 外 还 要 交换 两 个 随机 数 ， 记 为 ClientHello.random 和 ServerHello.random。 其 中 ， 密 码 配 置 表 
明了 SSL 客户 端 和 SSL 服务 器 都 文 持 的 某 个 密码 组 。SSL 3.0 协议 规范 定义 了 31 种 密码 配置 ， 
配置 主要 包含 三 个 方面 的 内 容 : 

e。 ” 密 钥 交换 方法 (Key Exchange Method) ; 

e。 数据 传输 加 密 算 法 (Cipher for Data Transfer) ; 

e。 计算 消 县 认证 码 的 消息 摘要 方法 (Message Digest for Creating the MAC) 。 

(2) 知 应 用 层 需 要 对 服务 方 进行 认 证 ， 服 务 方 将 发 送 它 的 证 书 ， 奋 服务 方 无 证 书 或 其 证 书 
只 做 签名 用 ， 服 务 方 可 发 送 一 个 SKE 〈Server Key Exchang) 消息 ， 以 进行 密 钥 交 换 。 

(3) 服务 方 回 客户 方 请 求 一 个 与 其 密码 配置 相 匹 配 的 客户 方 证 书 。 

(4) 以 上 工作 完成 ， 服 务 方 可 发 送 SHD (Server Hello Done) 消息 ， 标 志 着 问候 结束 。 服 
务 器 进入 等 待 客户 方 啊 应 状态 。 

(3) 客户 方 在 收 到 服务 方 的 请 求证 书 的 消息 之 后 , 应 啊 应 一 条 包含 证 书 的 消息 ,大 无 证 书 ， 
将 响应 一 条 无 证 书 提示 的 和 警告。 然后 发 送 CKE (Client Key Exchange) 消息 ， 消 息 内 容 是 基于 
双方 认可 的 公 钥 算法 。 

(6) 知 客户 方 发 送 了 含 签名 功能 的 证 书 , 则 还 需 发 送 一 条 DSCV(Digitally-Signed Certificate 
Verify) 消 县 ， 以 告知 服务 方 对 证 书 进行 验证 。 

(7) 客户 方 发 送 一 条 CCS (Change Cipher Spec) 消息 ， 确 认 密 码 配 置 将 进行 更 新 ， 并 更 
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新 会 话 的 密码 配置 ， 然 后 用 新 的 算法 和 密 钥 发 送 一 条 CHF (Client HandShaking Finished) 消息 ， 
表明 握手 结束 。 

(8) 服务 方 作为 回应 ， 也 发 送 一 条 CCS (Change Cipher Spec) 消息 ， 并 更 新 会 话 的 密码 
配置 ， 然 后 用 新 的 算法 和 密 钥 发 送 一 条 SHF 〈Server HandShaking Finished) 消息 ， 表 明 握 手 过 
程 结 束 。 至 此 ， 整 个 握手 过 程 结 束 ， 客 户 方 和 服务 方 开 始 交 换 应 用 层 数 据 。 

在 以 上 的 过 程 中 ， 有 些 消息 的 发 送 是 可 选 的 。 图 $-30 表明 了 整个 握手 的 流程 ， 其 中 消息 
名 称 之 后 带 “* ”号 的 是 可 选 的 。 


客户 方 服务 方 


SH (Server Hello ) 消息 
服务 方 证 书 * 


客户 方 证 书 请 求 消息 * 
SKE ( ServerKey Exchange ) 消息 * 


客户 方 证 书 # 
CKE (Client Key Exchange ) 消息 
DSCV (Digitally-Signed Certificate Verify ) 消息 * 
CCS (Change Cipher Spec ) 消息 
CHEF (Client HandShaking Finished ) 消息 


CCS (Change Cipher Spec ) 消息 
SHF ( Server HandShaking Finished ) 消息 


$-30 SSL 握手 协议 


5.8.2 SET 协议 


1.SET 协议 概述 


1995 年 ， 包 括 MasterCard、IBM 和 Netscape 在 内 的 联盟 开始 看 手 进 行 安全 电子 文 付 协议 
(CSEPP) 的 开发 ，VISA 和 微软 组 成 的 联盟 开始 开发 安全 交易 技术 〈STT) 。 由 于 两 大 信用 卡 组 
织 MasterCard 和 VISA 分 别 文 持 独 立 的 网 络 文 付 解决 方案 ， 影 响 了 网 络 文 付 的 发 展 。19956 年 这 
些 公 司 宣布 它们 将 联合 开发 一 种 统一 的 标准 ， 叫 安全 电子 交易 (SET) 。1997 年 5 月 ，SET 协 
议 由 VISA 和 MasterCard 两 大 信用 卡 公 司 联合 推出 ， 在 IPnternet 文 付 产业 中 许多 重要 的 组 织 ， 
如 IJBM、HP、Microsoft、Netscape、GTE、YVeriSign 等 都 声明 支持 SET。SET 协议 已 获得 IETF 
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标准 认可 ， 已 成 为 事实 上 的 工业 标准 。SET 主要 由 3 个 文件 组 成 ， 分 别 是 SET 业务 描述 、SET 
程序 员 指 南 和 SET 协议 描述 。 

SET 主要 是 为 了 解决 用 户 、 商 家 和 银行 之 间 通 过 信用 卡 支 付 的 交易 而 设计 的 ， 以 保证 支付 
信息 的 机 密 、 支 付 过 程 的 完整 、 商 户 及 持 卡 人 的 合法 身份 以 及 可 操作 性 。SET 非常 详细 而 准确 
地 反映 了 交易 各 方 之 间 存 在 的 各 种 关系 。 它 定义 了 加 密 信 息 的 格式 和 付款 文 付 交易 过 程 中 各 方 
传输 信息 的 规则 。SET 提供 了 持 卡 人 、 商 家 和 银行 之 间 的 认证 ， 确 保 了 网 上 交易 数据 的 机 密 性 、 
数据 的 完整 性 及 交易 的 不 可 抵赖 性 。 


2.SET 协议 的 参与 者 


在 SET 协议 系统 中 ， 交 易 的 参与 者 主要 有 : 

(1) 持 卡 人 《Cardholder) : 在 电子 商务 环境 中 ， 持 卡 人 通过 计算 机 和 网 络 访问 电子 商家 ， 
购买 商品 。 为 了 在 电子 商务 环境 中 安全 地 进行 文 付 操作 ， 持 卡 人 需要 安装 一 套 基于 SET 标准 的 
软件 《〈 通 第 骨 入 在 浏览 右 中 ) ， 并 使 用 由 发 卡 行 发 行 的 文 付 不， 而 且 需 要 从 认证 中 心 获取 目 己 
的 数字 签名 证 书 。 

(2) 商家 (Merchant) : 在 电子 商务 环境 中 ， 商 家 通过 目 己 的 网 站 加 客户 提供 商品 和 服务 。 
同时 商家 必须 与 相关 的 收 单行 达成 协议 ， 保 证 可 以 接受 信用 卡 的 文 付 。 而 且 商 家 也 需要 从 认证 
中 心 获 取 相 应 的 数字 证 书 〈 包 括 签 名 证 书 和 交换 密 钥 证 书 ) 。 

(3) 发 卡 行 〈Issuer) : 发 卡 行为 每 一 个 持 卡 人 建立 一 个 账户 ， 并 发 放 文 付 卡 。 一 个 发 卡 
行 必 须 保 证 对 经 过 授权 的 交易 进行 付款 。 

(4) 收 单行 (Acquirer) : 收 单行 为 每 一 个 网 上 商家 建立 一 个 账户 ， 且 处 理 付 坎 授 权 和 付 
款 结算 等 。 收 单行 不 属于 安全 电子 商务 的 直接 组 成 部 分 ， 但 它 是 授权 交易 与 付款 结算 操作 的 主 
要 参与 者 。 

(5) 文 付 网 关 (Payment Gateway) : 文 付 网 关 是 指 收 单 行 或 指定 的 第 三 方 运行 的 一 套 设 备 。 
它 负 责 处 理 文 付 卡 的 授权 和 文 付 。 同 时 ， 它 要 能 够 同 收 单行 的 交易 处 理 主 机 通信 ， 还 需要 从 认 
证 中 心 获取 相应 的 数字 证 书 〈 包 括 签名 证 书 和 交换 密 钥 证 书 ) 。 

(6) 品牌 (Brand) : 通常 金融 机 构 需 要 建立 不 同 的 支付 卡 品牌 ， 每 种 文 付 卡 品牌 都 有 不 
同 的 规则 ， 文 付 卡 品牌 将 确定 发 卡 行 、 收 单行 与 持 卡 人 和 商家 之 间 的 关系 。 

(7) 认证 中 心 〈Certificate Authority) : 它 负 责 颁 发 和 撤销 持 卡 人 、 商 家 和 文 付 网 关 的 数字 
证 书 ， 同 时 ， 它 还 要 回 商 家 和 文 付 网 关 贫 发 交换 密 钥 证 书 ， 以 便 在 支付 过 程 中 交换 会 话 密 钥 。 

在 实际 的 系统 中 , 发 卡 行 和 收 单行 可 以 由 同一 家 银行 担当 , 支付 网 关 也 可 由 该 银行 来 运行 ， 
这 些 需 要 根据 具体 的 情况 来 决定 。 


3.SET 协议 的 安全 机 制 
SET 协议 同时 是 PKI 框架 下 的 一 个 典型 实现 。 其 安全 核心 技术 主要 有 公开 密 钥 加 密 、 数 字 


签名 、 数 字 信 封 、 消 息 摘 要 、 数 字 证 书 等 ， 主 要 应 用 于 B2C 模式 中 保障 支付 信息 的 安全 性 。 任 
何 一 个 信任 CA 的 通信 方 ， 孝 可 以 通过 验证 对 方 数字 证 书 上 的 CA 数字 签名 来 建立 起 与 对 方 的 
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信任 关系 ， 并 且 获 得 对 方 的 公 钥 。 为 了 保证 CA 所 签发 证 书 的 通用 性 ， 通 常 证 书 格式 遵 守 
ITUX.509 标准 。 

根据 SET 标准 ,对 证 书 通过 信任 级 联 头 系 用 分 层 结构 进行 管理 。SET 定义 了 一 套 完 备 的 证 
书信 任 链 ， 每 个 证 书 连 接 一 个 实体 的 数字 签名 证 书 。 治 着 信任 树 可 以 到 一 个 众所周知 的 信任 机 
构 ， 用 户 可 以 确认 证 书 的 有 效 性 。 对 于 所 有 使 用 SET 的 实体 来 说 ， 只 有 唯一 的 根 CA。 图 5-31 
描述 了 这 种 信任 层次 。 在 SET 中 用 户 对 根 节 点 的 证 书 是 无 条 件 信 任 的 ， 如 果 从 证 书 所 对 应 的 节 
点 出 发 沿 着 信任 树 逐 级 验证 证 书 的 数字 签名 ， 大 能 够 到 达 一 个 已 知 的 信任 方 所 对 应 的 节点 或 根 
节点 ,就 能 确认 该 证 书 是 有 效 的 。 换 言 乙 , 信任 关系 是 从 根 节 点 到 树叶 传播 的 。 根 密 钥 (RootKey ) 
由 CA 目 己 签名 发 布 ， 而 根 密 钥 证 书 由 软件 开发 商 插入 他 们 的 软件 中 。 软 件 通过 辕 CA 发 出 一 
个 初始 化 请 求 〈 包 括 证 书 的 Hash 值 ) ， 可 以 确定 一 个 根 密 钥 的 有 效 性 。 根 密 钥 也 需 定期 更 换 。 
为 了 保证 根 证 书 的 真实 性 ， 根 证 书 和 下 一 次 的 蔡 换 密 钥 的 公 钥 的 散 列 值 一 起 颁发 。 在 根 证 书 被 
新 的 证 书 奉 代 时 ， 可 通过 验证 证 书 中 公 钥 的 散 列 值 与 最 近 的 旧 证 书 一 起 颁发 的 散 列 值 是 否 相 同 


来 对 新 证 书 的 真实 性 进行 验证 。 


品牌 签名 证 书 
区 域 性 认证 中 心 签名 证 书 


商务 认证 中 心 文 付 网 关 认 证 

签名 证 书 中 心 签 名 证 书 
持 卡 人 签名 商户 签名 商务 密 钥 交 支付 网 关 签 支付 网 关 密 
证 书 证 书 换 证 书 名 证 书 钥 交 换 证 书 


图 $-31 SET 协议 中 证 书 的 层次 模型 


持 卡 人 证 书 、 商 户 证 书 、 文 付 网 关 证 书 分 别 由 持 卡 人 认证 中 心 《CCA) 、 商 户 认 证 中 心 
(MCA) 、 文 付 网 关 认 证 中 心 (PCA) 进行 颁发 ， 而 CCA 证 书 、MCA 证 书 和 PCA 证 书 则 由 品 
牌 认 证 中 心 (BCA) 或 区 域 性 认证 中 心 (GCA) 进行 颁发 。BCA 的 证 书 由 根 认 证 中 心 (RCA) 
进行 颁发 。 

(1) 持 卡 人 证 书 〈Cardholder Certificates) : 持 卡 人 证 书 相当 于 文 付 卡 的 电子 表示 ， 它 可 
以 由 付款 银行 数字 签名 后 发 放 。 由 于 证 书 的 签名 私 钥 仅 为 付款 银行 所 知 ， 所 以 证 书 中 的 内 容 不 
可 能 被 任何 第 三 方 更 改 。 持 卡 人 证 书 只 有 在 付款 银行 的 同意 下 发 给 持 卡 人 。 该 证 书 同 购买 请 求 


持 卡 人 认证 中 
心 签名 证 书 
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和 加 密 后 的 付款 指令 一 起 发 给 商家 ， 商 家 在 验证 此 证 书 有 效 后 ， 就 可 以 认为 持 卡 人 为 合法 的 使 
用 者 。 持 卡 人 的 证 书 是 一 个 数字 签名 证 书 ， 用 于 验证 持 卡 人 的 数字 签名 ， 而 不 能 用 于 会 话 密 铀 
的 交换 。 任 何 持 卡 人 只 有 在 申请 到 数字 证 书 之 后 ， 才 能 够 进行 电子 交易 。 

(2) 商家 证 书 (Merchant Certificates) : 商家 证 书 表 示 商 家 与 收 单行 有 联系 ， 收 单行 同意 
商家 接受 付款 卡 文 付 。 商 家 证 书 由 收 单 行 数字 签名 后 颁发 。 商 家 要 加 入 SET 的 交易 至 少 要 拥有 
一 对 证 书 : 一 个 为 签名 证 书 ， 用 来 让 其 他 用 户 验证 商家 对 交易 信息 的 数字 签名 ; 另 一 个 为 交换 
密 钥 证 书 ， 用 来 在 交易 过 程 中 交换 用 于 加 密 交 易 信 息 的 会 话 密 钥 。 事 实 上， 一 个 商家 通 音 拥有 
多 对 证 书 ， 以 支持 不 同 品牌 的 付 亚 卡 。 

(3) 支付 网 关 证 书 (Payment Gateway Certificates) : 支付 网 关 证 书 用 于 商家 和 持 卡 人 在 进 
行 支 付 处 理 时 对 文 付 网 关 进 行 确认 以 及 交换 会 话 密 钥 ， 因 此 一 个 文 付 网 关 也 应 该 拥有 两 个 证 
书 ， 即 签名 证 书 和 交换 密 钥 证 书 。 持 卡 人 在 支付 时 从 文 付 网 关 的 交换 密 钥 证 书 中 得 到 保护 他 的 
支付 卡 账号 及 密码 的 公开 密 铀 。 通 第 文 付 网 关 证 书 由 付 秋 卡 品牌 CA 发 给 收 单行 。 

(4) 收 单行 证 书 〈Acquirercertificates) : 收 单行 必须 拥有 一 个 证 书 以 便 运 行 一 个 证 书 颁 发 
机 构 ， 它 接受 和 处 理 商 家 通过 公共 网 络 或 私有 网 络 传 来 的 证 书 请 求 和 授权 信息 。 收 单行 证 书 由 
付款 卡 品牌 CA 发 给 收 单行 。 

(5$) 发 卡 行 证 书 〈JIssuer CertifiCates) : 发 卡 行 必须 拥有 一 个 证 书 以 便 运 行 一 个 证 书 颁 发 
机 构 ， 它 接受 和 处 理 持 卡 人 通过 公共 网 络 或 私有 网 络 传 来 的 证 书 请 求 和 授权 信息 。 发 卡 行 证 书 
由 付款 卡 品牌 CA 发 给 发 卡 行 。 

SET 协议 使 用 密码 技术 来 保障 交易 的 安全 ， 这 些 密码 技术 主要 包括 散 列 图 数 、 对 称 加 密 算 
法 和 非 对 称 加 密 算 法 等 。SET 中 默认 使 用 的 散 列 函数 是 SHA， 对 称 密码 算法 则 通 弟 采用 DES， 
公 钥 密码 算法 一 般 采 用 RSA。 

在 用 RSA 加 密 时 ， 如 果 直 接 对 明文 加 密 ， 那 么 对 密 文 进行 分 机， 从 而 得 到 明文 的 一 些 比 
特 是 可 能 的 ， 而 且 这 样 的 技术 确实 存在 。 因 此 ，SET 在 数字 信封 中 用 RSA 加 密会 话 密 钥 或 是 
持 卡 人 账号 的 时 候 ， 首 先 用 OAEP 算法 对 明文 编 铝 。OAEP 算法 的 作用 是 使 消息 的 各 比特 之 间 
相互 联系 在 一 起 ， 从 而 使 得 根据 密 文 来 求解 明文 的 任意 比特 的 难度 是 相同 的 。 


4.SET 协议 的 数据 封闭 


SET 协议 经 稼 使 用 的 数据 封装 格式 包括 数字 信封 封装 和 双 数 字 签 名 封 猴 以 及 相应 的 数据 
封 攻 格式 。 

1) 持 卡 人 账号 的 盲 化 及 散 列 消息 封装 

散 列 函数 在 SET 中 除了 与 签名 算法 结合 使 用 以 及 进行 消息 的 完整 性 验证 之 外 , 还 用 来 保护 
持 卡 人 账号 的 安全 。 在 持 卡 人 证 书 中 不 直接 包含 账号 信息 ， 而 是 把 它 言 化 以 后 放 入 证 书 中 。 在 
育 化 账号 时 ， 使 用 散 列 函数 和 持 卡 人 与 CCA 共享 的 密码 值 。 将 共享 的 密码 值 〈 记 为 k) 作为 密 
铀 ， 以 账号 、 有 效 期 等 相关 信息 作为 信息 〈 记 为 b ， 计 算 融 密 钥 的 散 列 值 HMAC (t，k) 作 
为 盲 化 的 账号 放 入 证 书 。 因 此 只 有 CCA、 持 卡 人 和 发 卡 行 才 能 对 账号 进行 认证 。 
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2) 数字 签名 (Digital Signature) 封装 
在 SET 协议 中 ， 数 字 签 名 的 数据 的 封 麦 格式 使 用 PKCS#10 中 SignedData 数据 格式 ， 
如 图 $-32 所 示 。 
SignedData 


0 SHAI 


内 容 信息 


待 签 名 的 数据 ， 
按 DER 编 码 


签名 信息 


时 3 摘要 加 窗 密 本 认证 
才 


SHAI1 内 容 类 型 “RSA 加 密 


消息 摘要 
发 行商 名 | 证 书 序 
称 列 号 
图 $-32 SignedData 数据 格式 


3) 数字 信封 (Digital Envelope) 封装 
在 SET 中 ， 数 字 信 封 的 封 厂 的 详细 格式 使 用 了 PKCS#10 中 的 EnvelopedData， 如 图 $-33 
所 示 。 其 中 加 密 数 据 的 封装 格式 使 用 了 PKCS#10 中 的 EncryptedData。 


EnvelopedData 


息 信息 

收 单行 信息 
版 本 发 行商 和 | 密 钥 加 密 | 加 密 
序列 号 算法 “| 密 角 


RSA OAEF 加 密 


发 行商 
名 称 


加 密 后 的 内 容 信息 


DER 
图 $-33 ”EnvelopedData 数据 格式 
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4) 双 数 字 签名 (Dual Digital Signature ) 封装 

在 SET 的 交易 流程 中 ， 持 卡 人 在 文 付 的 时 候 需 要 对 订单 信息 〈《OI) 和 支付 信息 〈PI) 进行 
双 数 字 签 名 。 双 数字 签名 的 作用 是 : 一 方面 使 得 商家 能 够 验证 持 卡 人 确实 对 OIL 和 了 PI 进行 了 签 
名 ， 但 只 能 看 到 OI， 而 不 知道 PI 的 具体 内 容 ; 另 一 方面 使 得 文 付 网 关 能 够 验证 持 卡 人 确实 对 
OIL 和 PI 进行 了 签名 ， 但 只 能 看 到 PI， 而 不 知道 OI 的 具体 内 容 。 事 实 上 双 数 字 签 名 只 是 对 签名 
的 内 容 和 数据 的 封装 做 了 改动 。 双 数字 签名 的 实现 过 程 如 图 5-34 所 示 。 有 具体 过 程 如 下 : 

(1) 持 卡 人 分 别 计算 OU 和 PI 的 消息 摘要 OI Digest 和 PI Digest。 

(2) 计算 OI Digest | PI Digest 的 消息 摘要 Digest， 表 示 比 特 串 的 连接 。 

(3) 持 卡 人 用 目 己 的 签名 私 钥 对 Digest 签名 。 


持 卡 人 签名 
私 钥 的 加 密 


图 $S-34” 双 数字 签名 


持 卡 人 将 PI Digest、OI 和 双 数 字 签 名 经 数字 信封 加 密 后 发 送 给 商家 ， 将 OI Digest、PI 和 
双 数 字 签 名 经 数字 信封 加 密 后 经 由 商家 转发 给 文 付 网 关 。 商 家 解 开 信封 ， 生 成 订单 的 摘要 后 和 
账号 的 摘要 连接 起 来 ， 用 持 卡 人 证 书 的 签名 公 钥 即 可 验证 签名 。 


S. SET 协议 的 交易 流程 


SET 安全 电子 交易 的 整个 过 程 大 体 可 分 为 以 下 几 个 阶段 : 持 卡 人 《〈C) 注册 、 商 家 (MD) 
注册 、 购 买 请 求 、 付 款 授 权 和 付 秋 结算 。 

1) 持 卡 人 注册 《Cardholder Registration ) 

持 卡 人 C 在 实施 电子 交易 之 前 必须 先 向 其 金融 机 构 〈 发 卡 行 ) 注册 登记 ， 以 便 得 到 一 个 签 
名 证 书 。 在 这 个 过 程 中 ，C 为 了 保证 信息 的 机 密 性 ， 需 要 使 用 CCA 的 交换 密 钥 的 公 钥 。 它 是 
从 CCA 的 交换 密 钥 证 书 〈 在 初始 响应 中 由 CCA 发 送 ) 中 得 到 的 。 图 $-35 描述 了 持 卡 人 通过 
SET 协议 申请 证 书 的 信息 流程 。 

注册 的 具体 步骤 如 下 : 

(1) C 癌 CCA 发 送 初 始 请 求 CardCInitReq。 

(2) CCA 接 到 初始 请 求 ， 生 成 初始 响应 CardCInitRes， 并 对 初始 响应 进行 数字 签名 ;CCA 
把 CardCInitRes 连同 证 书 一 起 发 给 C。 

(3) C 接 到 初始 响应 ， 并 验证 CCA 的 证 书 ， 接 着 验证 CCA 对 响应 的 数字 签名 。 

(4) C 输入 账号 ， 生 成 注册 表 请 求 RegFormReq;， C 随机 生成 对 称 密 钥 K， 用 K 对 注册 表 
请 求 消息 加 密 ，KI 与 账号 一 起 用 CCA 的 交换 密 钥 的 公 钥 加 密 ; C 发 送 加 密 后 的 RegFormReq 
给 CCA。 
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ns 持 卡 人 认证 中 心 


CardCInitReq 


CardCinitRes 
RegFormReq 
RegFormRes 


CertReq 


CertRes 
图 $-35 ” 持 卡 人 申请 证 书 的 流程 


($) CCA 用 交换 密 钥 的 私 钥 解密 K 和 账号 ， 用 KKI 解密 加 密 的 RegFormReq。 

(6) CCA 选择 合适 的 注册 表 ， 生 成 注册 表 啊 应 RegFormRes， 并 对 其 进行 数字 签名 ;CCA 
发 送 加 密 的 RegFormRes 及 CCA 的 证 书 给 C。 

(7) C 接收 RegFormRes 并 验证 CCA 的 证 书 ， 接 着 验证 CCA 对 注册 表 的 数字 签名 ; C 产 
生 一 对 公开 /秘密 密 钥 SignatureKeyPair 和 一 个 秘密 的 用 于 注册 账号 的 随机 数 Ri; C 填写 注册 表 
并 生成 证 书 请 求 CertReq。 

(8) C 生成 由 CertReq、C 的 公开 密 钥 和 新 生成 的 对 称 密 钥 KK 组 成 的 消息 ， 并 签名 ; C 将 
此 消息 用 密 钥 K3; 加 密 , K3、R, 与 账号 一 起 用 CCA 的 交换 密 钥 的 公 钥 加 密 ; C 发 送 这 个 消息 ( 包 
括 加 密 的 账号 和 R; 等 ) 给 CCA。 

(9) CCA 用 交换 密 钥 的 私 钥 解 密 KK3、 随 机 数 Ri 和 账号 ， 用 Ks3 解密 加 密 后 的 证 书 请 求 ; 
CCA 验证 C 的 数字 签名 ， 用 账户 信息 和 注册 表 信 息 对 C 进行 必要 的 验证 〈SET 中 没有 具体 规 
定 ) ; 根据 验证 结果 ，CCA 生成 随机 数 R*， 将 Ra*、Ri、C 的 账号 、 有 效 期 等 信息 的 散 列 值 包 
含 在 证 书 中 ， 并 签名 ， 生 成 证 书 。 

(10) CCA 生成 证 书 应 答 CertRes〈 包 含 加 密 的 R) 并 签名 ; CCA 将 CertRes 用 玉 ; 加 密语 
发 送 给 C。 

(11) C 验证 CCA 的 证 书 并 用 K。, 解密 消息 CertRes; C 验证 CCA 对 证 书 的 数字 签名 后 保 
留 证 书 以 及 CCA 产生 的 秘密 随机 数 R，。 

在 持 卡 人 注册 过 程 中 ，C 的 证 书 不 直接 包含 C 的 账号 ， 而 是 包含 相关 信息 的 散 列 值 。 因 此 
仅 有 证 书 提供 的 信息 是 不 可 能 推 知 账号 信息 的 ， 这 样 就 保护 了 持 卡 人 的 敏感 信息 ; 此 外 ，C 没 
有 交换 密 钥 证 书 ， 会 话 密 钥 总 是 由 C 产生 并 通过 CCA 的 交换 密 钥 的 公 钥 加 密 传递 。 

2) 商家 注册 (Merchant Registration ) 

商家 M 在 进行 电子 交易 之 前 ， 必 须 先 癌 其 金融 机 构 〈 收 单行 ) 注册 登记 ， 以 便 得 到 签名 
证 书 和 交换 密 钥 证 书 。 而 支付 网 关 的 证 书 获取 过 程 同 商家 的 一 样 。 图 5-36 描述 了 商家 【或 文 付 
网 关 ) 通过 SET 协议 申请 证 书 的 流程 。 
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商户 M 商户 认证 中 心 (MCA ) 或 


支付 网 关 认 证 中 心 (PCA ) 


Me-AqCInitReq 
Me-AqCInitRes 
CertReq 


CertRes 


图 $-36 商家 (或 文 付 网 关 ) 申请 证 书 的 流程 


注册 的 具体 步骤 如 下 : 

(1) M 发 送 初始 请 求 Me-AqCInitReq 给 MCA。 

(2) MCA 接收 到 消息 Me-AqCInitReq， 选 择 合适 的 注册 表 ， 生 成 初始 响应 Me-AqCInitRes， 
并 对 其 进行 数字 签名 ， MCA 发 送 Me-AqCInitRes 及 MCA 的 证 书 给 M。 

(3) M 验证 MCA 对 消息 的 数字 签名 ， 并 产生 两 对 公开 /秘密 密 钥 : Key-ExchangeKeyPair 
和 SignatureKeyPair，M 填写 注册 表 并 生成 证 书 请 求 CertReq; M 生成 请 求 和 两 个 公开 密 钥 构成 
的 消息 并 签名 ; M 将 消 县 用 随机 生成 的 密 钥 玉 加 密 ， 开 及 M 的 账户 信息 用 MCA 的 交换 密 铀 
的 公 钥 加 密 ，M 把 消息 发 送 给 MCA。 

(4) MCA 收 到 消息 , 用 交换 密 钥 的 私 钥 解密 K 和 M 的 账户 信息 , 并 用 已 解密 消息 ; MCA 
验证 M 的 数字 签名 ， 使 用 M 的 有 关 信 息 证 实 CertReq; 根据 验证 ，MCA 生成 M 的 证 书 并 对 其 
签名 ;MCA 生成 证 书 响应 CertRes 并 签名 ;， MCA 发 送 证 书 和 CertRes 给 M。 

(5) M 验证 CertRes 的 签名 ， 接 着 验证 MCA 颁发 的 证 书 的 数字 签名 ， 并 保留 证 书 。 

3) 购买 请 求 (Purchase Request) 

购买 请 求 的 具体 步骤 如 下 : 

(1) C 通过 一 定 的 方式 挑选 商品 。 选 完 后 ，C 发 送 初始 请 求 给 M。 

(2) M 接收 初始 请 求 ， 并 生成 初始 啊 应 ， 对 其 进行 数字 签名 ; M 把 初始 啊 应 、M 和 PG 的 
证 书 发 送 给 C。 

(3) C 接收 到 初始 响应 ， 并 验证 所 有 的 证 书 ，C 验证 M 对 初始 响应 的 数字 签名 ; C 生成 订 
单 信息 OI 和 付款 指令 信息 PI， 并 对 OI 和 PI 进行 双 数 字 签 名 ; C 用 随机 生成 的 对 称 密 钥 K 对 
PI 加 密 ，KI 和 C 的 账户 信息 用 PG 的 交换 密 钥 的 公 钥 加 密 ; C 发 送 OIL 及 加 密 的 PI 给 M。 

(4) M 验证 C 的 证 书 及 C 的 双 数 字 签 名 ，M 处 理 购 买 请 求 ， 生 成 购买 响应 〈 包 括 M 的 证 
书 ) 并 对 其 签名 ， 发 送 给 C。 

645) 大 交易 已 经 授权 ， 则 M 履行 合同 。 

《6) C 接收 购买 响应 后 ， 验 证 M 的 证 书 ， 进 一 步 验证 M 对 购买 响应 的 数字 签名 ; C 保留 
购买 啊 应 。 

在 购买 请 求 中 ， 双 数字 签名 的 作用 是 使 商家 可 以 验证 OI 和 PI 是 由 持 卡 人 进行 签名 的 ， 但 


第 5 章 网 络 安全 国 量 333 加 


商家 却 不 能 看 到 PI 的 具体 内 容 ; 而 对 于 文 付 网 关 而 言 ， 它 也 能 够 验证 OIL 和 了 PI 是 由 持 卡 人 进行 
签名 的 ， 但 它 不 能 看 见 OFI 的 具体 内 容 。 使 用 双 数 字 签 名 的 好 处 是 不 仅 能 够 对 消息 源 、 消 息 完 
整 性 进行 认证 ， 而 且 使 信息 得 到 了 最 大 程度 的 保护 。 

4) 付款 授权 〈Payment Authorization ) 

在 购买 请 求 的 过 程 中 ，M 还 要 在 发 送 购买 啊 应 之 前 完成 付款 授权 ， 其 具体 步骤 如 下 : 

(1) M 生成 授权 请 求 ， 并 对 其 进行 签名 ; M 将 授权 请 求 用 随机 生成 的 对 称 密 钥 K, 加 密 ， 
K; 则 用 PG 的 交换 密 钥 的 公 钥 加 密 ; M 将 加 密 后 的 信息 和 M 的 证 书 一 起 发 送 给 PG。 

(2) PG 验证 M 的 证 书 ， 用 自己 的 交换 密 钥 私 钥 解 密 KK ， 用 K., 解密 授权 请 求 , PG 验证 M 
对 授权 请 求 的 签名 ; 接着 ， 验 证 C 的 证 书 ， 用 目 己 的 交换 密 钥 私 钥 解密 K， 用 开 , 解密 付 秋 指 
令 PI;，PG 验证 C 的 双 数 字 签 名 ， 验 证 M 的 授权 请 求 与 C 的 付 短 指令 的 一 致 性 ，PG 将 授权 请 
求 通过 金融 网 络 发 送 给 C 的 金融 机 构 。 

(3) PG 生成 授权 响应 并 对 其 进行 数字 签名 ， 用 KK 对 授权 啊 应 加 密 ， 而 KK 用 M 的 交换 密 
钥 公 钥 加 密 ， PG 生成 结算 标记 并 签名 ， 并 用 4 加 密 ，K4 及 CC 的 账户 信息 用 PG 的 交换 密 钥 公 
钥 加 密 ，PG 将 加 密 的 响应 及 上 自己 的 证 书 发 送 给 M。 

(4) M 验证 PG 的 证 书 ， 用 自己 的 交换 密 钥 私 钥 解密 K3， 用 KK; 解密 响应 消息 ， M 验证 PG 
对 授权 响应 的 数字 签名 ，M 保留 结算 标记 供 以 后 使 用 ， 并 完成 购买 请 求 。 

5$) 付款 结算 〈Payment Capture ) 

M 在 履行 合同 之 后 要 求 结算 付 寺 。 在 付 秋 授 权 和 付 亚 结算 之 间 经 音 有 较 长 的 时 间 间 隔 。 基 
体 的 付 秋 结算 步骤 如 下 : 

(1) M 生成 结算 请 求 ， 并 把 自己 的 证 书 加 入 结算 请 求 中 ， 进 行 数 字 签 名 ; M 将 结算 请 求 用 
K5s 加 密 ，K5s 用 PG 的 交换 密 钥 公 钥 加 密 ， 发 送 加 密 的 结算 请 求 及 在 授权 过 程 中 保留 的 加 密 了 的 
结算 标记 给 PG。 

(2) PG 首先 验证 M 的 证 书 ， 用 自己 的 交换 密 钥 私 钥 解密 人:， 用 K: 解密 结算 请 求 , PG 验 
证 M 对 结算 请 求 的 数字 签名 ， 用 自己 的 交换 密 钥 私 钥 解密 人 4， 用 K4 解 密 结算 标记 ， 确 认 结 算 
请 求 与 结算 标记 的 一 致 性 。 

(3) PG 生成 结算 响应 消息 〈 包 括 PG 的 证 书 ) ， 并 签名 ;， PG 将 结算 啊 应 用 Ke 加 密 ，K6 
用 M 的 交换 密 钥 公 钥 加 密 ， 发 送 给 M。 

(4) M 验证 PG 的 证 书 ， 用 自己 的 交换 密 钥 私 钥 解密 人 6， 用 K 解密 结算 啊 应 ， M 验证 PG 
对 结算 响应 的 签名 ， 保 留 结算 响应 以 便 用 来 从 收 单行 提 款 。 


83 ITIPe 


1. HTTPS 的 概念 


HTTPS (Hyper Text Transfer Protocol over Secure Socket Layer), 即 基 于 SSL 协议 的 HITP。 
HTTPS 是 一 个 安全 通信 通道 , 用 于 在 客户 计算 机 和 服务 器 之 间 交 换 信息 。 它 使 用 安全 套 接 字 层 
(SSL) 进行 信息 交换 ， 所 有 的 数据 在 传输 过 程 中 都 是 加 密 的 。HTITPS 最 初 的 研发 由 网 景 公司 
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进行 ， 提 供 了 身份 验证 与 加 密 通 信 方 法， 现在 它 被 广泛 用 于 全 球 信 息 网 上 安全 敏感 的 通信 ， 例 
如 交易 文 付 方面 。 

严格 来 说 ，HTTPS 不 是 一 个 单独 的 协议 ， 而 是 两 个 协议 的 结合 ， 即 在 加 密 的 安全 套 接 层 
(SSL ) 或 传输 层 安 全 (TLS) 上 进行 普通 的 HTTP 交互 传输 。 这 种 方式 提供 了 一 种 免 于 窃听 者 
或 中 间 人 攻击 的 合理 保护 。 

要 使 一 个 网 络 服务 器 接受 HITPS 连接 , 管理 员 必 须 为 服务 器 生成 一 个 电子 证 书 。 在 基于 UNIX 
的 服务 器 上 ， 这 些 证 书 可 以 通过 一 些 工具 ， 诸 如 OpenSSL 的 ssl-ca 或 SUSE 的 gen ssl cert 来 产生 。 

当 使 用 SSLATLS《〈 通 闻 使 用 https: / URL) 加 站 点 进行 HITP 请 求 时 ， 服 务 器 将 回 客 户 机 
发 送 一 个 证 书 。 客 户 机 使 用 已 安 闭 的 公共 证 书 验 证 服务 器 的 身份 ， 然 后 检查 卫 名 称 〈 机 器 名 ) 
与 客户 机 连接 的 机 器 是 否 匹 配 。 客 户 机 生成 一 些 可 以 用 来 生成 对 话 的 私 铀 〈 称 为 会 话 密 钥 ) 的 
随机 信息 ,然后 用 服务 器 的 公 钥 对 它 加 密 并 将 它 发 送 到 服务 器 。 服 务 器 用 目 己 的 私 钥 解密 消息 ， 
然后 用 该 随机 信息 派生 出 和 客户 机 一 样 的 私有 会 话 密 钥 。 通 常 在 这 个 阶段 使 用 RSA 公 铀 算法 。 
然后 ， 客 户 机 和 服务 器 使 用 私有 会 话 密 钥 和 私 钥 算法 〈 通 党 是 RC4) 进行 通信 。 使 用 另 一 个 密 
钥 的 消息 认证 人 码 来 确保 消息 的 完整 性 。 

在 RFC 2818 中 ， 描 述 了 如 何 将 TLS 应 用 于 Internet 上 的 安全 的 HITP 连接 。 

要 注意 的 是 ，HTTPS 不 同 于 EIT 开发 的 SHTTP 协议 ，SHTTP 协议 〈Secure Hyper Text 
Transfer Protocol， 安 全 超 文本 转换 协议 ) 是 一 个 HITPS URI Scheme 的 可 选 方案 ， 也 是 为 互联 
网 的 HTTP 加 密 通信 而 设计 。SHTTP 定义 于 RFC 2660。 


2. HTTPS 的 初始 化 连接 


作为 HITP 客户 的 代理 同时 也 作为 TLS 的 客户 。 在 HITPS 初始 化 连接 时 ，HTTP 客户 代 
理 向 服务 器 的 适当 端口 发 起 一 个 连接 ， 然 后 发 送 TLS ClientHello 来 开始 TLS 握手 。 当 TLS 握 
手 完 成 ， 客 户 可 以 初始 化 第 一 个 HITP 请 求 。 所 有 的 HITP 数据 必须 作为 TLS 的 “应 用 数据 ” 
发 送 。 当 然 ， 正 常 的 HITP 行为 ， 如 保持 连接 等 ， 和 HTTP 是 一 样 的 。 


3. HTTPS 的 关闭 连接 


TLS 提供 了 安全 关闭 连接 的 机 制 。 当 收 到 一 个 有 效 的 关闭 警告 时 ， 这 个 连接 上 不 再 接收 任 
何 数据 。TLS 的 实现 在 关闭 连接 之 前 发 起 交换 关闭 请 求 。TLS 实现 可 能 在 发 送 关 闭 请 求 后 ， 不 
等 竺 对方 发 送 关 闭 请 求 即 关 闭 该 连接 ， 产 生 一 个 “不 完全 的 关闭 ”。 

一 个 未 成 熟 请 求 并 不 质疑 数据 已 被 安全 地 接收 ， 而 仅 意 味 着 接 下 来 数据 可 能 被 截 反 。 由 于 
TLS 并 不 知道 HTTP 的 请 求 /响应 边界 ， 为 了 解数 据 截断 是 发 生 在 消息 内 还 是 在 消息 之 间 ， 有 必 
要 检查 HITTP 数据 本 喘 〈 即 Content-Length 头 ) 。 

1 黎 户 行为 

由 于 HTTP 使 用 连接 关闭 表示 服务 器 数据 的 终止 ,客户 端 实现 上 对 任何 未 成 熟 的 关闭 要 作 
为 错误 对 符 ， 对 收 到 的 数据 认为 有 可 能 被 截断 。 在 某 些 情况 下 HTTP 协议 允许 客户 知道 截断 是 
售 发 生 ， 这 样 如 果 客 户 收 到 了 完整 的 应 答 ， 则 在 遵循 “ 严 出 松 入 [RFC 1958]” 的 原则 下 可 容忍 
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这 类 错误 ， 经 常数 据 截 断 不 体现 在 HTTP 协议 数据 中 。 有 两 种 情况 特别 值得 注意 : 
e ”一 个 无 Content-Length 头 的 HTTP 啊 应 。 在 这 种 情况 下 数据 长 度 由 连接 关闭 请 求 通 知 ， 
我 们 无 法 区 分 由 服务 器 产生 的 未 成 熟 关 闭 请 求 及 由 网 络 攻 击 者 伪造 的 关闭 请 求 。 
e 一 个 带 有 有 效 Content-Length 头 的 HITP 啊 应 在 所 有 数据 被 读 取 完 之 前 关闭 。 由 于 TLS 
并 不 提供 面向 文档 的 保护 ， 所 以 无 法 知道 是 服务 器 对 Content-Length 计算 错误 还 是 攻 
击 者 已 截断 连接 。 
以 上 规则 有 一 个 例外 。 当 客户 遇 到 一 个 未 成 熟 关 闭 时 ， 客 户 把 所 有 已 接收 到 的 数据 同 
Content-Length 头 指定 的 一 样 多 的 请 求 视 为 已 完成 。 
客户 检测 到 一 个 未 完成 关闭 时 应 予以 有 序 恢复 ， 它 可 能 恢复 一 个 以 这 种 方式 关闭 的 TLS 
对 话 。 客 户 在 关闭 连接 前 必须 发 送 关 闭 警 告 。 未 准备 接收 任何 数据 的 客户 可 能 选择 不 等 竺 服务 
需 的 关闭 警告 而 直接 关闭 连 技 ， 这 样 在 服务 右 关 产生 一 个 不 完全 的 关闭 。 
2) 服务 左 行 为 
REFC 2616 允许 HITP 客户 在 任何 时 候 关 闭 连接 ， 并 要 求 服务 器 有 序 地 恢复 它 。 
服务 喜 应 准备 接收 来 自 客 户 的 不 完全 关闭 ， 因 为 客户 往往 能 够 判断 服务 器 数据 的 结束 。 服 
务 人 磊 应 乐于 恢复 以 这 种 方式 关闭 的 TLS 对 话 。 
在 实现 上 ， 在 不 使 用 永久 连接 的 HITP 实现 中 ， 服 务 器 一 般 期 望 能 通过 关闭 连接 通知 数据 
的 结束 。 但 是 ， 当 Content-Length 被 使 用 时 ， 客 户 可 能 早已 发 送 了 关闭 警告 并 断 开 了 连接 。 
服务 器 必须 在 关闭 连接 前 试 狗 友 起 同 客 户 交 换 关 闭 和 警告。 服务器 可 能 在 发 送 关 闭 警 告 后 天 
财 连接 ， 从 而 形成 了 客户 端的 不 完全 关闭 。 


4. HTTPS 的 端口 和 URI 格式 


HTTPS 是 一 个 URI Scheme《〈 抽 象 标识 符 体 系 ) ， 用 于 安全 的 HITP 数据 传输 ， 句 法 类 同 
“http: ”体系 。“https: URL” 表 明 它 使 用 了 HTTP, 但 HITPS 存在 不 同 于 HTTP 的 默认 端口 
及 一 个 加 密 / 身 份 验证 层 〈 在 HITP 与 TCP 之 间 ) 。“https: URL” 连 接 可 以 指定 TCP 端口 ， 
否则 使 用 默认 的 443 端口 〈 普 通 HTTP 连接 一 般 使 用 80 端口 ) 。 

HTTP 服务 器 期 望 最 先 从 客户 端 收 到 的 数据 是 Request-Line production。TLS 服务 器 期 望 最 
先 收 到 的 数据 是 ClientHello。 因 此 ， 一 般 做 法 是 在 一 个 单独 的 端口 上 运行 HITP/TLS， 以 区 分 
是 在 使 用 哪 种 协议 。 当 在 TCP/PP 连接 上 运行 HTTP/TLS 时 ， 缺 省 端口 是 443。 这 并 不 排除 
HTTP/TLS 运行 在 其 他 传输 上 。TLS 只 假设 有 可 靠 的 、 面 向 连接 的 数据 流 。 

HTTP/ATLS 和 HTTP 的 URI 不 同 ， 使 用 协议 摘 述 符 https 而 不 是 http。 使 用 HITP/ATLS 的 
一 个 URI 例子 是 ; 


https: /www.example.com/~Smlth/home.html 
S.， 端 标识 


1) 服务 器 身份 
通 音 ,解析 一 个 URI 产 生 HITP/TLS 请 求 。 结 果 客 户 得 到 服务 器 的 主机 名 。 大 主机 名 可 用 ， 
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为 防止 有 人 在 中 间 攻 击 ， 客 户 必 须 把 它 同 服务 器 证 书信 息 中 的 服务 器 的 吴 份 号 比较 检查 。 

若 客户 有 相关 服务 器 标志 的 外 部 信息 ， 主 机 名 检查 可 以 忽略 。《〈 例 如 ， 客 户 可 能 连接 到 一 
个 主机 名 和 卫 地 址 都 是 动态 的 服务 器 上 ， 但 客户 了 解 服务 器 的 证 书信 息 。) 在 这 种 情况 下 ， 为 
防止 有 人 攻击 ， 尽 可 能 缩小 可 接受 证 书 的 范围 就 很 重要 。 在 特殊 情况 下 ， 客 户 简 单 地 忽略 服务 
器 的 身份 是 可 以 的 ， 但 必须 意识 到 连接 对 攻击 是 完全 敞开 的 。 

大 dNSName 类 型 的 subjectAltName 扩展 存在 ， 则 必须 被 用 作 吴 份 标 识 。 有 否则， 在 证 书 的 
Subject 字段 中 必须 使 用 Common Name 字段 。 虽 然 使 用 Common Name 是 通 第 的 做 法 ， 但 不 入 
推荐 ， 而 Certification Authorities 被 推荐 使 用 dNSName。 

使 用 [RFC 2459] 中 的 匹配 规则 进行 匹配 。 阁 在 证 书 中 给 定 类 型 的 身份 标识 超过 一 个 〈 也 驶 
是 ， 超 过 一 个 dNSName 和 集合 中 的 相 匹 配 ) ， 名 字 可 以 包括 通配符 类， 表示 和 单个 域名 或 其 
中 的 一 段 相 匹配 。 例 如 , 大 .acom 和 foo.a.com 匹配 但 和 barfoo.a.com 不 匹配 ;fx .com 和 foo.com 
匹配 但 和 barcom 不 匹配 。 

在 某 些 情况 下 ,URI 定 义 的 不 是 主机 名 而 是 了 王 地址。 在 这 种 情况 下 ,证 书 中 必须 有 iPAddress 
subjectAltName 字段 且 必 须 精 确 匹 配 在 URI 中 的 卫 地 址 。 

知 主 机 名 和 证 书 中 的 标识 不 相符 ， 面 向 用 户 的 客户 端 必 须 或 者 通知 用 户 《 客 户 端 可 以 给 用 
户 机 会 来 继续 连接 ) 或 终止 连接 并 报 证 书 错 。 自 动 客户 端 必须 将 错误 记录 在 适当 的 审计 日 志 中 
( 特 有 的 话 ) 并 应 该 终止 连接 〈 融 一 证 书 错 ) 。 和 上 自动 客户 端 可 以 提供 选项 禁止 这 种 检查 ， 但 必 
须 提 供 选 项 使 能 它 。 

注意 ， 在 很 多 情况 下 URI 本 喘 是 从 不 可 信任 的 源 得 到 的 。 以 上 描述 的 检查 并 未 提供 对 
危害 源 的 攻击 的 保护 。 人 例如， 大 URI 是 从 一 个 未 采用 HITP/ATLS 的 HIMEL 页 面 得 到 的 ， 茶 
个 人 可 能 已 在 中 间 蔡 换 了 URI。 为 防止 这 种 攻击 ， 用 户 应 仔细 检查 服务 器 提供 的 证 书 是 否 
是 期 望 的 。 

2) 客户 标识 

典型 情况 下 , 服务 器 并 不 知道 客户 的 标识 是 什么 , 也 就 无 法 检查 (除非 有 合适 的 CA 证 书 )。 
大 服务 器 知道 的 话 〈 通 营 是 在 HITP 和 TLS 之 外 的 源 得 到 的 ), 它 应 该 像 上 面 摘 述 的 那样 检 奏 。 


5.9 安全 审计 


美国 国家 标准 《可 信 计 算 机 系统 评 佑 准则》 对 于 安全 审计 系统 给 出 如 下 定义 : 一 个 安全 的 
审计 系统 ， 是 对 系统 中 任何 一 个 或 者 所 有 安全 相关 的 事件 进行 记录 、 分 析 和 再 现 的 处 理 系统 ， 
通过 对 一 些 重 要 的 事件 进行 的 记录 ， 在 系统 发 现 钳 误 或 者 受到 攻击 时 能 够 定位 错误 和 找到 攻击 
成 功 的 原因 , 是 事故 后 调查 取证 的 基础 。 在 信息 安全 的 三 个 基本 要 素 一 一 保护 、 检 调和 恢复 中 ， 
安全 属于 检测 的 范围 。 从 广义 上 来 说 ， 安 全 审计 是 对 网 络 的 脆弱 性 进行 测试 评估 和 分 析 ， 最 大 
限度 地 保障 业务 的 安全 正常 运行 的 一 切 行为 和 手段 。 


5.9.1 安全 审计 的 内 容 
1. 安全 审计 概述 


安全 审计 包括 识别 、 记 录 、 存 储 、 分 析 与 安全 相关 行为 的 信息 ， 审 计 记 录用 于 检查 与 安全 
相关 的 活动 和 负责 人 。 

1) 安全 审计 上 自动 啊 应 (AU_APR) 

安全 审计 上 自动 啊 应 定义 在 被 测 事件 指示 出 一 个 潜在 的 安全 攻击 时 做 出 的 响应 ， 它 是 管理 审 
计 事 件 的 需要 ， 这 些 需要 包括 报警 或 行动 ， 例 如 包括 实时 报警 的 生成 、 违 例 进程 的 终止 、 中 断 
服务 、 用 户 账号 的 失效 等 。 根 据 审 计 事件 的 不 同系 统 将 做 出 不 同 的 响应 。 其 响应 方式 包括 增加 、 
删除 、 修 改 等 操作 。 

2) 安全 审计 数据 生成 (AU_GEN) 

该 功能 要 求 记 录 与 安全 相关 的 事件 的 出 现 ， 包 括 鉴 别 审计 层次 、 列 举 可 被 审计 的 事件 类 型 
以 及 鉴别 由 各 种 审计 记录 类 型 提供 的 相关 审计 信息 的 最 小 集合 。 系 统 可 定义 可 审计 事件 清单 ， 
每 个 可 审计 事件 对 应 于 某 个 事件 级 别 ， 如 低级 、 中 级 、 高 级 。 产 生 的 审计 数据 有 以 下 几 方 面 : 

e。 ”对 于 敏感 数据 项 〈 人 例如， 口令 等 ) 的 访问 ; 

e。 目标 对 有 象 的 删除 ; 

e。 访问 权限 或 能 力 的 授予 和 废除 ; 

e。 改变 主体 或 目标 的 安全 属性 ; 

e。 标识 定义 和 用 户 授权 认证 功能 的 使 用 ; 

e。 审计 功能 的 局 动 和 关闭 。 

每 一 条 审计 记录 中 至 少 应 含 以 下 信息 : 事件 发 生 的 日 期 、 时 间 、 事 件 类 型 、 主 题 标识 、 执 
行 结果 《成 功 、 失 败 ) 、 引 起 此 事件 的 用 户 的 标识 以 及 对 每 一 个 审计 事件 及 与 该 事件 有 关 的 审 
计 信 息 。 

3) 安全 审计 分 析 (AU_SAA) 

此 部 分 功能 定义 了 分 析 系 统 活 动 和 审计 数据 来 寻找 可 能 的 或 真正 的 安全 违规 操作 。 它 可 以 
用 于 入 侵 检 测 或 对 安全 违规 的 自动 啊 应 。 当 一 个 审计 事件 集 出 现 或 累计 出 现 一 定 次 数 时 可 以 确 
定 一 个 违规 的 发 生 ， 并 执行 审计 分 析 。 事 件 的 集合 能 够 由 经 授权 的 用 户 进行 增加 、 修 改 或 删除 
等 操作 。 审 计 分 析 分 为 潜在 攻击 分 析 、 基 于 模板 的 异 稼 检测 、 人 简单 攻击 试探 和 复杂 攻击 试探 等 
几 种 类 型 。 

e。 潜在 攻击 分 析 。 系 统 能 用 一 系列 的 规则 监控 审计 事件 ,并 根据 规则 指示 系统 的 潜在 

攻击 。 

e。 基于 模板 的 开 香 检测。 检测 系统 不 同等 级 用 户 的 行动 记录 ， 当 用 户 的 活动 等 级 超过 其 

限定 的 登记 时 ， 应 指示 出 此 为 一 个 潜在 的 攻击 。 

e。 简单 攻击 试探 。 当 发 现 一 个 系统 事件 与 一 个 表示 对 系统 潜在 攻击 的 签名 事件 匹配 时 ， 
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应 指示 出 此 为 一 个 潜在 的 攻击 。 
e。 复杂 攻击 试探 。 当 发 现 一 个 系统 事件 或 事件 序列 与 一 个 表示 对 系统 淤 在 攻击 的 签名 事 
件 匹 配 时 ， 应 指示 出 此 为 一 个 潜在 的 攻击 。 

4) 安全 审计 浏览 (AU_SAR) 

该 功能 要 求 审 计 系统 能 够 使 授权 的 用 户 有 效 地 浏览 审计 数据 ， 包 括 审计 浏览 有限 审 计 浏 
览 、 可 选 审计 浏览 。 

e 审计 浏览 。 提 供 从 审计 记录 中 读 取 信息 的 服务 。 

e。 有 限 审计 浏览 。 要 求 除 注册 用 户外 ， 其 他 用 户 不 能 读 取 信息 。 

e。 可 选 审计 信息 。 要 求 审 计 浏 览 工具 根据 相应 的 判断 标准 选择 需 浏 览 的 审计 数据 。 

$) 安全 审计 事件 选择 (AU_SEL ) 

系统 能 够 维护 、 检 得 或 修改 审计 事件 的 集合 ， 能 够 选择 对 哪些 安全 属性 进行 审计 ， 例 如 与 
目标 标识 、 用 户 标识 、 主 体 标 识 、 主 机 标识 或 事件 类 型 有 关 的 属性 。 系 统管 理 员 将 能 够 有 选择 
地 在 个 人 识别 的 基础 上 审计 任何 一 个 用 户 或 多 个 用 户 的 动作 。 

6) 安全 审计 事件 存储 〈AU_STG ) 

系统 将 提供 控制 措施 以 防止 由 于 资源 的 不 可 用 丢失 审计 数据 。 能 够 创造 、 维 护 、 访 问 它 所 
保护 的 对 象 的 审计 足迹， 并 保护 其 不 被 修改 、 非 授权 访问 或 破坏 。 审 计数 据 将 受到 保护 直至 授 
权 用 户 对 它 进行 访问 。 它 可 保证 茶 个 指定 量度 的 审计 记录 被 维护 ， 并 不 受 以 下 事件 的 影 啊 : 

e。 审计 存储 用 尽 ; 

e。 审计 存储 故障 ; 

e。 非法 攻击 ; 

e。 其 他 任何 非 预 期 事件 。 

系统 能 够 在 审计 存储 发 生 故 障 时 采取 相应 的 动作 ,能 够 在 审计 存储 即将 用 尽 时 采取 相应 的 
动作 。 

信息 安全 的 目标 分 为 系统 安全 、 数 据 安全 和 事务 安全 。 根 据 被 审计 的 对 象 的 不 同 ， 安 全 审 
计 包 含 以 下 几 种 类 型 ; 

e。 系统 的 安全 审计 ; 

e。 数据 的 安全 审计 ; 

e。 应 用 的 安全 审计 。 

但 是 通 营 的 审计 系统 都 含有 上 述 三 种 审计 目的 。 审 计 系 统 必须 支持 各 种 操作 系统 《〈 如 
UNIX/Linux/Windows) 、 网 络 设备 〈 多 种 网 络 交 换 机 、 路 由 器 ) 、 文 持 服 务 和 应 用 系统 〈 如 IS 
服务 器 、APAEHE 服务 器 、Web 服务 器 、E-mail 服务 器 、FTP 服务 器 、DNS 服务 器 等 ) 、 支 持 
新 设备 和 系统 日 志 的 审计 。 


2. 安全 审计 的 功能 


安全 审计 系统 就 是 根据 一 定 的 安全 策略 记录 和 分 析 历 史 操作 事件 及 数据 ， 发 现 能 够 改进 系 
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统 运行 性 能 和 系统 安全 的 地 方 。 安 全 审计 的 作用 包括 : 对 潜在 的 攻击 者 起 到 震慑 或 警告 的 作用 、 
检测 和 制止 对 安全 系统 的 入 侵 、 发 现 计 算 机 的 滥用 情况 、 为 系统 管理 员 提 供 系 统 运 行 的 日 志 ， 
从 而 能 发 现 系统 入 侵 行 为 和 潜在 的 漏洞 ， 并 对 已 经 发 生 的 系统 攻击 行为 提供 有 效 的 追 纠 证 据 。 
安全 审计 系统 通常 有 一 个 统一 的 集中 管理 平台 ， 支 持 集中 管理 ， 并 支持 对 日 志 代理 、 安 全 审计 
中 心 、 日 志 、 数 据 库 的 集中 管理 ， 并 具有 事件 响应 机 制 和 联动 机 制 。 中 国信 息 安全 产品 测评 认 
证 中 心 基于 CC 标准 来 制定 国家 标准 ， 网 络 安全 审计 系统 所 实现 的 功能 主要 遵照 CC 标准 具 
体 功 能 如 下 。 

(1) 监视 网 络 上 的 反常 行为 。 此 功能 对 应 于 CC 标准 的 安全 审计 分 析 功 能 和 安全 审计 数 
据 生成 功能 。 基 于 网 络 的 审计 代理 以 旁 路 〈Bypass) 方式 连接 在 被 审计 的 网 络 上 ， 实 时 监测 网 
络 上 的 传输 内 容 ， 根 据 规则 分 析 ， 辨 别 出 异 常 行为 ， 如 系统 入 侵 、 攻 击 尝 试 、 内 部 违规 、 非 法 
访问 等 行为 。 它 不 但 能 够 检测 到 外 来 入 侵 ， 也 能 发 现 内 部 人 员 的 违规 或 误 操 作 。 审 计 系 统 能 
通过 分 析 系 统 活 动 和 审计 数据 来 确认 安全 违规 操作 。 当 一 个 审计 事件 集 出 现 或 累计 出 现 一 定 次 
数 时 可 以 确定 一 个 违规 的 发 生 , 并 对 此 事件 集 进 行 分 析 。 授权 的 用 户 能 够 对 事件 集合 进行 增加 、 
修改 或 删除 等 操作 。 

(2) 收集 操作 系统 和 应 用 系统 内 部 所 产生 的 审计 数据 。 此 功能 对 应 于 CC 标准 的 安全 审 
计 分 析 功 能 和 安全 审计 数据 生成 功能 。 基 于 主机 的 审计 代理 能 入 在 被 审计 主机 系统 内 部 ， 收 集 
操作 系统 或 应 用 系统 所 产生 的 审计 信息 ， 如 系统 日 志 、 报 警 消息 、 操 作 记 录 等 。 该 功能 主要 防 
止 因 操作 系统 或 应 用 系统 的 日 志文 件 或 相关 信息 被 黑客 删除 或 意外 丢失 而 带 来 的 损失 ， 是 一 种 
取证 功能 。 

(3) 实时 报警 。 此 功能 对 应 于 CC 标准 的 安全 审计 自动 啊 应 功能 。 当 审计 系统 检测 到 网 
络 违规 行为 或 异常 情况 时 进行 实时 报警 ， 以 提醒 管理 人 员 及 时 发 现 问题 ， 并 采取 有 效 措施 控 
制 事态 发 展 。 系 统 根 据 不 同事 件 级 别 产生 不 同 级 别 的 报警 ， 如 不 同 的 报警 声音 或 不 同 的 记录 
形式 。 

(4) 网 络 控制 。 此 功能 对 应 于 CC 标准 的 安全 审计 自动 响应 功能 。 当 审计 系统 发 现 严重 
的 违规 现象 或 网 络 入 侵 时 ， 可 通过 自动 或 手动 的 方式 中 断 此 网 络 连接 ， 使 入 侵 不 能 继续 进行 ， 
能 有 效 地 减少 损失 ， 维 护 网 络 秩序 ， 保 证 网 络 安全 。 

(5) 审计 数据 维护 和 查询 加 密 ， 权 限 控制 。 此 功能 对 应 于 CC 标准 的 安全 审计 数据 生成 、 
安全 审计 浏览 和 安全 审计 事件 存储 功能 。 所 有 触发 审计 系统 的 事件 都 在 审计 系统 内 按照 CC 标 
准 生 成 完备 的 审计 数据 ， 并 加 密 存 储 在 审计 系统 内 ， 同 时 能 够 根据 存储 的 记录 和 操作 者 的 权限 
进行 查询 、 统 计 、 管 理 、 维 护 等 操作 ， 并 且 能 够 在 必要 时 从 记录 中 抽取 所 需要 的 资料 ， 例 如 

e。 ”一 个 或 多 个 用 户 的 行动 ; 

e。 ”对 一 个 特定 目标 或 资源 采取 的 行动 ; 

e。 审计 例外 的 情况 ; 

e。 与 特定 安全 属性 有 关 的 行动 。 

审计 系统 能 够 提供 控制 措施 以 防止 丢失 审计 数据 。 能 够 创造 、 维 护 、 访 问 它 所 保护 的 对 象 
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的 审计 记录 ， 并 保护 其 不 被 修改 、 非 授权 访问 或 破坏 。 

《6) 规则 制定 。 此 功能 对 应 于 CC 标准 的 安全 审计 事件 选择 功能 。 系 统 根据 管理 员 所 制 
定 的 规则 来 运作 ， 以 适应 不 同 应 用 的 需求 ， 使 得 审计 系统 与 信息 系统 更 加 贴切 。 在 审计 系统 中 
能 定义 可 审计 的 事件 清单 。 

(7) 附加 功能 。 除 了 提供 以 上 符合 CC 标准 的 功能 之 外 ， 审 计 系 统 还 提供 审计 接口 ， 能 
够 与 其 他 安全 产品 协同 工作 ， 联 合 防御 。 


3. 安全 审计 模型 


安全 审计 模型 如 图 $-37 所 示 。 在 安全 审计 模型 中 ， 当 检测 出 一 个 事件 后 ， 必 须 做 出 决定 ， 
判断 该 事件 是 安全 相关 事件 还 是 与 安全 无 关 的 事件 ， 事 件 鉴别 器 接收 到 事件 后 ， 确 定 应 该 产生 
安全 审计 消息 ， 或 者 产生 安全 报警 消息 ， 或 者 两 者 都 产生 。 安 全 审计 消息 发 送 到 审计 记录 和 需 ， 
安全 报警 消息 发 送 到 报警 记录 器 ， 等 竺 下 一 步 的 评估 和 行动 。 安 全 审计 消息 被 格式 化 ， 转 换 成 
安全 审计 记录 ， 包 括 在 安全 审计 跟踪 里 。 部 分 安全 审计 跟踪 可 能 存档 ， 安 全 审计 跟踪 和 安全 审 
计 跟 踪 的 存档 都 用 来 产生 安全 审计 报告 ， 这 些 报告 的 来 源 是 针对 特别 的 标准 选择 特别 的 安全 审 
计 跟 踩 记录。 总 之 ， 安 全 审计 跟踪 可 能 用 于 分 析 、 安 全 审计 报告 或 者 安全 报警 的 产生 。 


审计 事件 鉴别 审计 事件 采集 报警 行为 
和 观 曾 管 还 这 尖 
审计 事件 记录 安全 审计 


图 $-37 ”安全 审计 模型 

安全 审计 规则 管理 为 保证 系统 在 有 安全 保障 的 条 件 下 有 效 运行 ,为 审计 管理 员 提 供 了 详细 
的 规则 管理 ， 包 括 对 来 访 王 的 过 滤 ， 对 特定 注册 用 户 的 过 滤 ， 对 恶意 刷新 可 上 自 定 义 设 置 次 数 / 
秒 数 的 屏 项 ， 以 及 对 数据 库 审计 的 各 种 接口 的 管理 。 

安全 审计 事件 鉴别 在 实施 审计 过 滤 体 系 前 对 审计 事件 进行 鉴别 ， 以 确定 哪些 事件 需要 重点 
审计 ， 据 此 来 配置 相应 的 过 滤器 链 ， 开 发 相应 的 审计 事件 的 记录 组 件 等 。 

安全 审计 日 志 采 集 完 成 了 安全 审计 的 核心 功能 ， 实 现 了 在 线 日 志 采 集 和 离线 日 志 采 集 。 在 
线 日 志 通 过 访问 者 的 SessionID 可 以 得 到 用 户 访问 的 序列 ， 而 离线 日 志 则 会 触发 过 滤器 组 件 或 
者 数据 库 层 触发 器 ， 存 储 审计 日 志 于 数据 库 中 。 

安全 审计 日 志 采 用 数据 库存 储 ， 主 要 包括 用 户 的 访问 日 志和 数据 库 审 计 视 图 。 其 中 ， 用 户 
的 访问 日 志 主 要 包括 会 话 标识 符 、 用 户 名 、 卫 地 址 、 资 源 等 主要 信息 ; 数据 库 审 计 视 图 是 数据 


第 5 章 网 络 安全 国 国 341 轿 


库 系统 的 一 个 特性 ， 通 过 有 具体 审计 策略 的 定义 ， 可 以 得 到 相关 实体 操作 、 权 限 操作 的 记录 ， 以 
供 审 计 使 用 。 

安全 审计 报告 要 为 管理 员 提 供 各 种 查询 统计 的 接口 ， 以 做 到 有 效 的 追踪 ， 对 具体 操作 的 有 
据 可 考 。 具 体 包 括 对 各 类 别 日 志 的 自 定 义 模糊 查询 、 提 取 高 频率 信息 流 、 对 大 量 访问 日 志 的 细 
度 分 机 、 对 海量 日 忘 的 转 储 方案 等 。 

安全 审计 报警 处 理 及 报警 行为 对 于 违规 访问 及 恶意 刷新 进行 报警 处 理 ， 目 动 提 取 来 访 或 用 
户 名 ， 将 其 置 入 危险 库 或 者 拒绝 服务 用 尸 库 ， 再 次 的 访问 将 被 服务 器 拒绝 。 

同时 ， 日 志 作为 安全 审计 系统 得 到 的 核心 数据 ， 考 虑 其 安全 性 也 是 十 分 必要 的 ， 项 目 中 通 
过 数据 库 系统 设置 和 文件 过 滤器 的 配合 ， 来 控制 对 日 总 物理 文件 的 访问 ， 以 确保 日 总 文件 不 被 
非 授权 访问 和 自 改 。 


4. 安全 审计 的 流程 


电子 数据 安全 审计 工作 的 流程 是 : 收集 来 自 内 核 和 核 外 的 事件 ， 根 据 相 应 的 审计 条 件 ， 判 
断 是 否 是 审计 事件 。 对 审计 事件 的 内 容 按 日 志 的 模式 记录 到 审计 日 志 中 。 当 审计 事件 满足 报警 
闪 的 报警 值 时 ， 则 向 审计 人 员 发 送 报警 信 息 并 记录 其 内 容 。 当 事件 在 一 定时 间 内 连续 发 生 ， 满 
足 逐 出 系统 闪 值 ， 则 将 引起 该 事件 的 用 户 逐 出 系统 并 记录 其 内 容 。 

安全 审计 过 程 如 下 : 

(1) 记录 和 搜集 有 关 的 审计 信息 ， 产 生 审 计数 据 记 录 。 

(2) 对 数据 记录 进行 安全 违反 分 析 ， 以 检查 安全 违反 与 安全 入 侵 原 因 。 

(3) 对 其 分 析 产 生 相 应 的 分 析 报 表 。 

(4) 评估 系统 安全 ， 并 提出 改进 意见 。 

上 述 过 程 可 简化 为 三 个 功能 模块 ， 如 图 $-38 所 示 。 


审计 事件 7 生 事件 安全 审计 审计 结果 发 布 


| 


-二 


在 客户 端 进 

行 日 志 查 询 

并 产生 啊 应 
报 和 表 


将 网 络 日 志 定 

时 收集 并 实时 

传输 到 日 志 服 
务 器 


接收 日 志 并 分 
析 过 滤 ， 投 固 
定格 式 存 放 


图 $5-38 ”安全 审计 流程 
常用 的 报警 类 型 有 : 用 于 实时 报告 用 户 试 探 进 入 系统 的 登录 失败 报警 以 及 用 于 实时 报告 系 
统 中 病毒 活动 情况 的 病毒 报警 等 。 审 计 人 员 可 以 查询 、 检 查 审计 日 志 以 形成 审计 报告 。 检 和 碍 的 
内 容 包括 : 审计 事件 类 型 ， 事 件 安全 级 ， 引 用 事件 的 用 户 ， 报 警 ， 指 定时 间 内 的 事件 以 及 恶意 
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用 户 表 等 。 上 述 内 容 可 结合 使 用 。 

基于 主机 的 安全 审计 是 对 每 个 用 户 在 计算 机 系统 上 的 操作 做 一 个 完整 的 记录 ， 主 要 包括 系 
统 启 动 、 运 行情 况 ， 管 理 员 登 录 、 操 作 情 况 ， 系 统 配置 更 改 〈 如 注册 表 、 配 置 文 件 、 用 户 系 统 
等 ) 以 及 病毒 或 蠕虫 感染 ， 资 源 消耗 情况 的 审计 ， 人 硬盘 、CPU、 内 存 、 网 络 负载 、 进 程 、 操 作 
系统 安全 日 志 ， 系 统 内 部 事件 ， 对 重要 文件 的 访问 记录 ， 以 便于 发 现 、 调 查 、 分 析 以 及 事后 妃 
查 责任 。 一 般 来 说 ， 安 全 审计 过 程 的 实现 分 为 三 步 : 收集 审计 事件 ， 产 生 审 计 日 志 记 录 ， 根 据 
记录 进行 安全 分 析 、 生 成 报警 信息 。 审 计 范 围 包括 操作 系统 和 各 应 用 程序 。 其 中 ， 操 作 系统 的 
审计 主要 是 检测 和 判定 对 系统 的 渗透 ， 识 别 误 操作 、 文 件 操 作 和 操作 命令 的 选择 ， 文 件 的 定义 
和 目 动 转换 ， 文 件 系统 完整 性 的 定时 检测 ， 信 息 的 格式 和 输出 巡 体 的 格式 ， 报 和 警 准 值 的 选择 和 
设置 ， 审 计 日 志 记 录 及 其 数据 的 安全 保护 等 。 各 应 用 程序 的 审计 主要 是 以 应 用 程序 的 菏 些 操作 
作为 审计 对 象 进 行 监 视 和 实时 记录 ， 并 且 根 据 记 录 结 果 判 断 此 应 用 程序 是 否 被 修改 、 安 全 控制 
和 正确 运行 ， 判 断 程序 和 数据 是 否 完整 ， 依 重 使 用 者 的 有 身份 、 口 令 验 证 、 终 端 保护 等 方法 控制 
应 用 程序 的 正确 运行 。 审 计 包 括 人 工 审计 ， 计 算 机 手动 分 析 、 处 理 审计 记录 并 与 审计 人 员 最 后 
决策 相 结合 的 半 目 动 审 计 ， 依 靠 专 家 系统 做 出 判断 结果 的 目 动 化 的 智能 审计 等 。 为 了 文 持 审计 
工作 ， 要 求 数据 库 管 理 系统 具有 总 可 靠 性 和 高 完整 性 。 数 据 库 管 理 系统 要 为 审计 的 需要 设置 相 
应 的 特性 。 


S. 基于 网 络 的 安全 审计 系统 


网 络 安全 审计 是 一 个 安全 的 网 络 必 须 文 持 的 功能 特性 。 审 计 是 记录 用 户 使 用 计算 机 网 络 系 
统 进行 所 有 活动 的 过 程 ， 它 不 仅 能 够 识别 谁 访问 了 系统 ， 还 能 指出 系统 正 被 怎样 地 使 用 ， 对 于 
确定 是 否 有 网 络 被 攻击 的 情况 以 及 确定 攻击 源 也 很 重要 。 同 时 ， 系 统 事件 的 记录 能 够 更 迅速 和 
系统 地 识别 问题 , 是 网 络 事故 处 理 的 重要 依据 , 能 够 为 网 络 犯罪 行为 及 泄密 行为 提供 取证 基础 。 
另外 ， 通 过 对 安全 事件 的 不 断 收 集 、 积 累 并 加 以 分 机， 可 以 有 选择 地 对 茶 些 主机 和 用 户 进行 审 
计 跟 蹊 和 监控 。 

从 网 络 管理 角度 讲 ， 安 全 审计 便 是 实现 内 部 监督 的 重要 手段 。 内 部 网 络 的 管理 和 安全 的 程 
度 是 互联 网 成 熟 的 标志 。 因 此 ， 内 部 的 安全 监督 必 不 可 少 ， 安 全 审计 系统 可 以 有 效 地 实现 对 内 
网 的 安全 监督 。 在 我 国 网 络 快速 发 展 和 应 用 的 过 程 中 ， 包 括 政府 、 学 校 、 企 事业 单位 、 备 队 等 
在 内 的 办 公 眉 动 化 系统 、 数 字 化 校园 系统 、 电 子 商 务 系统 、 电 子 政 务 、 金 融 网 络 等 系统 的 规模 
越 来 越 大 ， 构 成 系统 的 网 络 、 计 算 机 系统 不 同 ， 使 用 人 员 的 技术 水 平 、 安 全 意识 参差 不 齐 ， 因 
此 确保 信息 网 络 安全 已 经 成 为 必须 要 考虑 的 么 人 迫 问 题 。 

当前 ， 网 络 安 全 审计 系统 的 发 展 相 对 落后 ， 这 和 用 户 的 需求 形成 了 鲜明 对 比 。 网 络 安全 审 
计 系 统 重点 审计 网 络 访问 行为 及 网 络 报 文 (Message) ， 就 现实 情况 而 言 ， 国 内 大 部 分 的 企业 
都 已 经 建立 起 了 自己 的 计算 机 网 络 ， 即 企业 网 (Enterprise Network， 通 常 指 Intranet) ， 但 一 般 
都 没有 建立 相应 的 网 络 安全 审计 系统 ， 这 一 方面 是 由 于 缺乏 比较 好 的 网 络 安 全 审计 技术 ， 更 重 
要 的 一 个 原因 是 大 家 对 网 络 安全 审计 的 认识 存在 不 足 ， 这 从 我 国 每 年 不 断 发 生 的 网 络 泄 密 事件 
可 见 一 斑 。 与 Internet 互 连 的 网 络 安装 防火 墙 、IDS、 杀 毒 软件 可 在 一 定 程度 上 解决 网 络 黑客 与 
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病毒 入 侵 等 问题 ， 但 是 对 于 一 个 单位 的 网 络 来 说 ， 仅 仅 有 这 样 的 配置 是 不 够 的 。 一 个 单位 的 网 
络 常常 既 要 处 理 来 自 外 部 的 入 侵 ， 也 要 对 内 部 用 户 访问 外 部 网 络 的 行为 进行 监控 ， 只 有 这 样 ， 
一 个 单位 内 部 网 络 连 接 到 外 部 网 络 时 ， 才 是 比较 安全 的 。 显 然 ， 研 究 并 建立 一 套 与 实际 应 用 需 
求 相 适应 的 网 络 安全 审计 系统 具有 重要 的 现实 意义 。 

网 络 安全 审计 系统 在 设计 上 采用 了 分 布 式 审计 和 多 层次 审计 相 结合 的 独特 方案 。 网 络 安全 
审计 系统 是 对 网 络 系统 多 个 层次 上 的 全 面 审 计 。 多 层次 审计 是 指 整 个 审计 系统 不 仅 能 对 网 络 数 
据 通 信 操 作 进 行 底层 审计 〈 如 网 络 上 的 各 种 Internet 应 用 ) ， 还 能 对 系统 和 平台 (包括 操作 系 
统 和 应 用 平台 ) 进行 中 层 审计 ， 以 及 为 应 用 软件 服务 提供 高 层 审计 。 这 使 它 区 列 于 传统 的 审计 
产品 和 IDS 系统 。 

同时 ， 对 于 一 个 地 点 分 散 、 主 机 众多 、 各 种 联网 方式 共存 的 大 规模 网 络 ， 网 络 安全 审计 系 
统 应 该 覆盖 整个 系统 ， 即 网 络 安全 审计 系统 应 对 每 个 子 系统 都 能 进行 安全 审计 ， 这 样 才 能 保证 
整体 的 安全 。 因 此 ， 网 络 安全 审计 系统 除了 是 一 个 多 层次 审计 系统 之 外 ， 还 是 一 个 分 布 式 的 审 
计 系 统 。 网 络 安全 审计 系统 由 各 种 特定 类 型 的 审计 代理 〈Audit Agent) 、 审 计 收 发 右 (Audit 
Transceiver) 、 审 计 中 心 (Audit Center) 、 审 计 控 制 台 〈Audit Console) 四 部 分 组 成 。 审 计 代 
理 安 置 在 所 有 被 监视 的 网 络 节点 以 及 关键 的 主机 节点 , 进行 审计 数据 的 收集 、 审 计数 据 的 分 析 、 
审计 事件 的 上 报 、 审 计 事 件 的 实时 反映 等 工作 。 审 计 收 发 器 负责 收集 该 主机 上 上 所 有 审计 代理 产 
生 的 审计 事件 ， 将 审计 事件 上 报 审计 中 心 或 将 审计 事件 在 整个 审计 域 中 相关 的 审计 代理 间 广 
播 ， 同时 根据 审计 中 心 或 审计 控制 台 发 出 的 审计 指令 对 该 主机 上 的 审计 组 件 进 行 控 制 ， 如 更 新 
配置 、 重 启 、 自 检 等 。 审 计 中 心 则 完成 审计 事件 的 分 机 、 统 计 、 存 储 等 。 审 计 控 制 合 提供 图 形 
化 的 用 户 接口 ， 完 成 审计 事件 的 实时 报警 、 安 全 规则 的 制定 、 审 计 组 件 的 控制 管理 等 工作 。 同 
时 ， 网 络 安全 审计 系统 还 提供 了 审计 接口 。 审 计 接 口 为 其 他 网 络 安全 设备 及 各 种 应 用 程序 提供 
了 进行 审计 的 手段 。 其 他 网 络 安全 产品 ， 如 防火 墙 等 ， 可 通过 审计 接口 与 审计 组 件 进行 信息 交 
换 ， 使 得 审计 系统 能 够 和 其 他 安全 产品 进行 联合 防御 ， 以 提高 网 络 安全 程度 。 同 时 ， 用 户 所 开 
发 的 应 用 程序 也 可 以 通过 审计 接口 使 得 应 用 程序 能 够 被 审计 系统 进行 审计 ， 以 保护 应 用 程序 不 
受 侵 和 宕 。 

各 组 件 的 关系 搞 述 如 下 : 

(1) 网 络 安全 审计 系统 可 以 分 布 在 任意 多 个 主机 上 , 每 个 主机 上 可 以 有 任意 多 个 审计 代理 。 

(2) 在 同一 主机 上 的 所 有 审计 代理 向 位 于 该 主机 上 的 审计 收发 右 发 送信 息 。 

(3) 每 台 主 机 只 能 有 一 个 收发 器 ， 负 责 监 督 和 控制 该 主机 上 的 所 有 代理 ， 可 以 回 代 理 友 送 
控制 命令 ， 也 可 对 代理 发 送 来 的 数据 进行 数据 精 倘 。 

(4) 审计 收发 堪 回 审计 中 心 报告 审计 事件 。 

(5$) 审计 中 心 监督 和 控制 所 有 的 审计 收发 器 。 

(6) 审计 控制 台 负 责 同 用 户 进行 交互 ， 对 整个 审计 系统 进行 管理 ， 从 用 户 界 面 获取 控制 命 
令 ， 回 用 户 实 时 报警 等 。 

7) 所 有 部 件 都 为 其 他 部 件 及 用 户 提供 API， 实 现 相 互 之 间 的 调用 。 

网 络 安 全 审计 系统 的 各 部 分 的 具体 功能 如 下 。 
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1) 审计 代理 

整个 审计 体系 的 基础 由 分 布 在 审计 节点 上 的 审计 代理 构成 。 这 些 审计 代理 是 独立 运行 的 软 
件 或 模块 ， 根 据 不 同 的 需求 安装 在 不 同 的 系统 中 ， 完 成 不 同 的 功能 。 这 些 代理 通过 网 络 劳 路 接 
入 和 系统 舱 入 的 方式 与 实际 运行 的 系统 连接 ， 采 用 被 动 或 主动 的 方式 获取 信息 ， 根 据 事 先 定义 
好 的 安全 策略 进行 分 析 ， 生 成 审计 事件 ， 上 报 审计 中 心 ， 并 且 在 茶 些 情况 下 还 将 作用 于 实际 运 
行 系统 配合 响应 机 制 的 完成 。 其 主要 功能 有 : 


审计 数据 生成 ; 

分 析 审 计数 据 ， 生 成 审计 事件 ; 

审计 事件 的 记录 和 跟踪 ; 
安全 事件 的 实时 报警 

及 时 对 网 络 及 设备 进行 控制 ， 消 除 安全 威胁 。 


产生 审计 事件 的 因素 有 : 


吴 份 认 证 机 构 不 能 确认 的 号 份 ; 
访问 安全 等 级 不 相符 合 的 数据 ; 
对 系统 运行 产生 重要 影响 的 动作 ; 
其 他 与 安全 相关 的 动作 。 


这 些 审计 代理 大 致 分 为 四 类 : 


网 络 监 听 陈 审计 代理 : 安装 在 专用 审计 人 硬件 系统 上 , 或 者 通用 PC Server 的 NT 操作 
系统 上 ， 通 过 对 网 络 上 传输 的 数据 包 进 行 截获 和 分 析 的 方式 运行 。 如 入 侵 检 测 审计 代 
理 ， 流 量 监控 审计 代理 ， 典 型 应 用 审计 代理 ， 文 件 共享 审计 代理 ， 网 管 操 作 审 计 代 理 。 
主机 操作 系统 审计 代理 : 安装 在 服务 器 上 ， 航 入 在 UNIX 或 者 NT 操作 系统 中 ， 通 
过 收集 操作 系统 日 志和 内 部 安全 事件 的 方式 运行 。 如 NT 操作 系统 审计 代理 ，Solaris 
操作 系统 审计 代理 ，HP _UX 操作 系统 审计 代理 。 

主动 获取 式 审 计 代 理 : 通过 主动 癌 预 定 的 目标 以 标准 格式 发 送 请 求 ， 接 收回 应 ， 然 后 
判断 的 方式 运行 。 如 网 络 设 备 MIB 采样 审计 代理 ， 漏 洞 扫描 审计 代理 。 

应 用 型 审计 代理 : 本 喘 是 一 个 应 用 ， 但 能 够 癌 审 计 中 心 发 送审 计 事 件 ， 进 行 报警 或 通 
报 日 彰 数 据 。 如 文件 完整 性 审计 代理 等 。 

审计 代理 同时 也 具有 很 强 的 自治 性 。 其 自治 性 主要 体现 在 它们 是 独立 运行 的 实体 ， 可 
以 将 它们 看 成 一 个 独立 的 进程 或 进程 组 ， 它 们 的 执行 只 与 操作 系统 的 调度 有 关 ， 而 与 
其 他 进程 无 关 。 尽 管 代 理 间 可 能 需要 进行 数据 通信 ， 但 仍 认 为 它 是 目 治 的 。 目 治 代理 
的 引入 可 以 改善 网 络 安全 审计 系统 的 健壮 性 和 可 扩展 性 。 由 于 代理 是 相互 独立 运行 的 
实体 ， 它 们 的 运行 和 删除 不 会 影响 到 其 他 组 件 的 运行 ， 使 得 整个 系统 不 用 重启 。 可 以 
根据 系统 的 需要 ， 灵 活 地 增加 任意 多 的 代理 和 开发 新 的 针对 特定 应 用 的 代理 ， 只 要 它 
们 符合 审计 系统 各 组 件 间 的 逻辑 关 系 并 以 同样 的 审计 协议 进行 数据 通信 。 
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2) 审计 收发 器 
审计 收发 器 作为 该 主机 上 的 审计 代理 与 审计 域 中 其 他 的 审计 组 件 进 行 通信 的 中 介 ， 其 主要 


e。 收集 该 主机 上 上 所 有 审计 代理 产生 的 审计 事件 ; 

e。 将 审计 事件 上 报 审计 中 心 ; 

e。 将 审计 事件 在 相关 审计 代理 间 广 播 ; 

e。 ”对 该 主机 上 的 审计 组 件 进行 控制 。 

3) 审计 中 心 

审计 中 心 收 集 由 审计 收发 器 送 来 的 审计 事件 ， 具 有 分 析 、 统 计 、 存 储 等 功能 。 有 具体 如 下 : 

e。 分析 : 分 析 安 全 审计 事件 与 系统 运行 状况 。 

e。 统计 : 根据 审计 事件 进行 统计 汇总 。 

e。 存储 : 对 审计 事件 进行 分 析 后 存 入 相应 的 数据 库 。 

4) 审计 控制 台 

审计 控制 应 是 审计 系统 的 图 形 化 用 户 接口 。 系 统管 理 员 通过 该 接口 对 整个 安全 审计 系统 进 
行 控制 管理 ， 通 过 它 能 创造 、 维 护 、 访 问 审 计 系 统 所 保护 的 对 象 的 审计 踪迹 ， 对 系统 进行 配置 
等 。 具 体 功 能 如 下 : 

e。 实时 报警 : 安全 事件 的 实时 浏览 。 

e。 分 级 控制 : 不 同 级 别 的 用 户 能 对 审计 系统 进行 不 同 程度 的 控制 管理 。 

e。 ”检索 : 供 系 统管 理 员 检 索 历 史 的 安全 事件 。 

e。 审计 事件 选择 : 为 各 个 审计 代理 设置 特定 的 安全 策略 。 

e。 审计 组 件 管理 : 包括 组 件 的 配置 、 存 储 管理 、 时 钟 管理 、 数 据 库 管 理 。 


5.9.2 ”审计 工具 


1. 审计 工具 分 类 


审计 的 内 容 多 种 多 样 ， 为 了 不 同 的 目的 可 以 采取 不 同 的 方法 和 工具 。 审 计 工 具 按 照 不 同 的 
目的 可 以 分 为 以 下 四 种 : 行为 审计 、 内 容 审计 、 主 机 审计 和 数据 库 审 计 。 


2. 审计 工具 简介 


1 ) LogBase 

LogBase 日 志 管 理 综 合 审计 系统 以 保障 信息 系统 的 稳定 安全 为 出 友 点 ， 全 面 获 取 和 收集 各 
关 信 息 日 六 ,通过 实时 和 事后 的 审计 分 析 ， 为 用 户 预防 和 及 时 发 现 整 个 系统 各 组 成 部 分 〈 网 络 、 
服务 器 、 应 用 、 安 全 设备 、 终 端 ) 的 运行 故障 、 敏 感 操作 和 安全 事件 ， 独 有 的 日 志 专 用 数据 库 
和 动态 索引 机 制 ， 可 以 满足 海量 日 志 信 息 的 集中 存储 和 高 速 检 索 ， 为 各 类 异 币 事件 的 退 香 和 恢 
复 提供 有 效 依据 。 该 系统 能 够 审计 的 日 志 包 括 各 类 网 络 设备 《交换 机 、 路 由 器 ) 的 系统 日 志 、 
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各 类 UNIXVLinux 操作 系统 的 系统 日 志 及 其 他 审计 信息 、Windows 平台 事件 的 日 志 内 容 及 其 他 
审计 信息 、 各 类 应 用 服务 的 系统 和 访问 日 志 、 各 类 网 络 安 全 设备 日 志 等 。 

2) NetSC 

NetSC 日 志 审 计 系 统 由 LogServer、LogViewer 和 LogAuditer 三 个 部 分 组 成 , 可 以 和 清华 得 
实 所 有 的 自 有 产品 无 颖 集成 ， 具 有 操作 界面 简单 、 直 观 易 用 、 稳 定性 好 、 易 维护 及 易 移 植 等 请 
多 特性 ， 与 清华 得 实 开发 的 其 他 产品 配合 使 用 ， 可 以 为 企 事业 内 部 局 域 网 和 连接 Internet 用 户 
提供 一 套 全 面 安 全 的 解决 方案 。 该 系统 能 实时 地 监测 网 络 上 和 用 户 系统 中 发 生 的 与 安全 相关 的 
事件 ， 并 将 这 些 情况 真实 、 详 尽 而 完善 地 进行 记录 ， 在 必要 时 能 提供 宝贵 的 数据 ， 并 具有 防 销 
般 和 算 改 的 功能 ,同时 该 系统 提供 了 完善 的 日 志 审 计 功 能 , 可 以 从 不 同 的 角度 进行 租 询 和 统计 ， 
并 将 结果 以 不 同 的 方式 进行 显示 。 

3) XLog 

XLog 网 络 日 志 审 计 系 统 ， 可 以 与 路 由 吉 、 交 换 机 等 网 络 设备 共同 组 网 ， 根 据 用 户 要 求 采 
集 不 同类 型 的 网 络 流量 信息 ， 并 通过 聚合 、 分 析 与 统计 ， 为 网 络 管理 员 提 供用 户 行为 审计 、 流 
量 异 背 监 控 和 网 络 部 署 优化 的 数据 基础 和 决策 依据 。XLog 文 持 多 种 类 型 网 络 流 量 日 六 的 处 理 ， 
管理 员 可 以 依据 网 络 设备 的 特性 、 网 络 拓扑 的 特点 以 及 日 志 分 析 的 目标 等 因素 灵活 选择 日 志 采 
集 和 分 析 模 式 ， 实 时 记录 稍 纵 即 逝 的 网 络 流量 信息 。 

基于 日 志 的 网 络 安全 审计 系统 采用 了 B/S 结构 。HEF 防火 墙 、IDS 入 侵 监测 系统 、IPPS 信 
县 保护 系统 将 产生 的 日 志 实 时 地 发 送 给 基于 日 志 的 网 络 安 全 审计 系统 ， 用 户 可 以 通过 安全 审计 
系统 的 用 户 控制 台 审 计 分 析 日 志 。 
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6.1 标准 化 基础 知识 


标准 (CStandard) 是 对 重复 性 事物 和 概念 所 做 的 统一 规定 。 规 范 (Specification )、 规 程 (Code ) 
都 是 标准 的 一 种 形式 。 标 准 化 〈Standardization ) 是 在 经 济 、 技 术 、 科 学 及 管理 等 社会 实践 中 ， 
以 改进 产品 、 过 程 和 服务 的 适用 性 ， 防 止 贸易 壁 翁 ， 促 进 技 术 合作 ， 促 进 最 大 社会 效益 为 目的 ， 
对 重复 性 事物 和 概念 通过 制定 、 发 布 和 实施 标准 达到 统一 ， 获 得 最 佳 秩 序 和 社会 效益 的 过 程 。 


6.1.1 基本 概念 


标准 是 标准 化 活动 的 产物 ， 其 目的 和 作用 都 是 通过 制定 和 贯彻 具体 的 标准 来 体现 的 。 标 准 
化 不 是 一 个 孤立 的 事物 ， 而 是 一 个 活动 过 程 。 标 准 化 活动 过 程 一 般 包 括 标准 产生 调查、 研究 、 
形成 草案 、 批 准 发 布 ) 子 过 程 、 标 准 实施 〈 宣 传 、 普 及 、 监 督 、 咨 询 ) 子 过 程 和 标准 更 新 〈 复 
审 、 废 止 或 修订 ) 子 过 程 等 。 


1. 标准 的 分 类 


可 以 从 不 同 的 角度 和 属性 将 标准 进行 分 类 。 

1) 根据 适用 范围 分 类 

根据 标准 制定 的 机 构 和 标准 适用 的 范围 ， 可 将 其 分 为 国际 标准 、 国 家 标准 、 区 域 标准 、 行 
业 标 准 、 企 业 《 机 构 ) 标准 及 项 目 〈 读 题 ) 规范 。 

(1) 国际 标准 〈International Standard) 。 国 际 标准 是 指 国际 标准 化 组 织 〈ISO) 、 国 际 电 
工 委员 会 (IEC) 所 制定 的 标准 ， 以 及 ISO 出 版 的 《国际 标准 题 内 关键 词 索引 《〈 开 WIC Index) 》 
中 收录 的 其 他 国际 组 织 制定 的 标准 。 国 际 标准 在 世界 范围 内 统一 使 用 ， 各 国 可 以 目 愿 采用 ， 不 
强制 使 用 。 

(2) 国家 标准 (National Standard) 。 国 家 标准 是 由 政府 或 国家 级 的 机 构 制定 或 批准 的 、 适 
用 于 全 国 范 围 的 标准 ， 是 一 个 国家 标准 体系 的 主体 和 基础 ， 国 内 各 级 标准 必须 服从 且 不 得 与 之 
相抵 触 。 香 见 的 国家 标准 如 下 : 

CGO 中 华人 民 共 和 国 国家 标准 (GB) 。 
家 技术 监督 局 所 公布 实施 的 标准 ， 人 简称 为 “国标 ”。 

@) 美国 国家 标准 (ANSI) 。ANSI 是 美国 国家 标准 协会 (American National Standards 
Institute，ANSI) 制定 的 标准 。 

@) 英国 国家 标准 (British Standard，BS) 。BS 是 英国 标准 协会 (BSI) 制定 的 标准 。 
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QQ 日 本 工业 标准 (Japanese Industrial Standard，JIS) 。JIS 是 日 本 工业 标准 调查 会 (JISC ) 
制定 的 标准 。 

(3) 区 域 标准 〈Regional Standard) 。 区 域 标准 〈 也 称 地 区 标准 ) 泛 指 世界 上 按 地 理 、 经 
济 或 政治 划分 的 茶 一 区 域 标 准 化 团体 押 通 过 的 标准 。 它 是 为 了 茶 一 区 域 的 利益 建立 的 标准 。 通 
常 ， 地 区 标准 主要 是 指 太 平 洋 地 区 标准 大 会 (PASC) 、 欧 洲 标 准 化 委员 会 (CEN ) 、 亚 洲 标准 
咨询 委员 会 (ASAC) 、 非 洲 地 区 标准 化 组 织 (ARSO) 等 地 区 组 织 所 制定 和 使 用 的 标准 。 

(4) 行业 标准 〈Specialized Standard) 。 行 业 标 准 是 由 行业 机 构 、 学 术 团 体 或 国防 机 构 制 
定 ， 并 适用 于 某 个 业务 领域 的 标准 。 包 括 以 下 一 些 标准 : 

@) 美国 电气 与 电子 工程 师 协 会 标准 (IEEE) 。IEEE 通过 的 标准 常常 要 报请 ANSI 审批 ， 
使 其 具有 国家 标准 的 性 质 。 因 此 , IEEE 公布 的 标准 利 冠 有 ANSI 字 头 。 例 如 , ANSLIIEEE Str 828 
一 1983《 软 件 配置 管理 计划 标准 》。 

@) 中 华人 民 共 和 国 国 家 军用 标准 (GJB) 。G 了 本 是 由 我 国 国防 科学 技术 工业 委员 会 批准 ， 
适用 于 国防 部 门 和 军队 使 用 的 标准 。 例 如 , 1988 年 发 布 实施 的 GJB 473-88《 军 用 软件 开发 规范 》。 
我 国 的 行业 标准 是 由 我 国 各 主管 部 、 委 《局 ) 批准 发 布 ， 在 该 部 门 范 围 内 统一 使 用 的 标准 。 

G@) 美国 国防 部 标准 (Department Of Defense-Standards，DOD-STD) ， 适 用 于 美国 国防 部 
门 。 美 国 盏 用 标准 MIL-S 〈Military-Standards) 。DOD-STD 适用 于 美军 内 部 。 

(53) 企业 标准 〈Company Standard) 。 企 业 标 准 是 由 企业 或 公司 批准 、 发 布 的 标准 ， 茶 些 
产品 标准 由 其 上 级 主管 机 构 批准 、 发 布 。 例 如 ， 美 国 IBM 公司 通用 产品 部 〈General Products 
Division) 1984 年 制定 的 “程序 设计 开发 指南 ”， 仅 供 该 公司 内 部 使 用 。 

(6) 项 目 规范 〈Project Specification) 。 由 某 一 科研 生产 项 目 组 织 制定 ， 且 为 该 项 任务 专 
用 的 软件 工程 规范 。 例 如 ， 计 算 机 集成 制造 系统 (CIMS ) 的 软件 工程 规范 。 

根据 《中 华人 民 共 和 国标 准 化 法 》 的 规定 ， 我 国标 准 分 为 国家 标准 、 行 业 标 准 、 地 方 标准 
和 企业 标准 四 类 。 这 四 类 标准 主要 是 适用 的 范围 不 同 ， 不 是 标准 技术 水 平 高 低 的 分 级 。 

(1) 国家 标准 。 由 国务 院 标准 化 行政 主管 部 门 制定 的 需要 全 国 范围 内 统一 的 技术 要 求 。 

(2) 行业 标准 。 没 有 国家 标准 而 又 需 在 全 国 某 个 行业 范围 内 统一 的 技术 标准 ， 由 国务 院 有 
关 行 政 主管 部 门 制 定 并 报国 务 院 标准 化 行政 主管 部 门 备案 的 标准 。 

(3) 地 方 标准 。 没 有 国家 标准 和 行业 标准 而 又 需 在 省 、 上 自治 区 、 直 辖 市 范围 内 统一 的 工业 
产品 的 安全 、 卫 生 要 求 ， 由 省 、 上 自治 区 、 直 辖 市 标准 化 行政 主管 部 门 制定 并 报国 务 院 标准 化 行 
政 主管 部 门 和 国务 院 有 关 行 业 行 政 主管 部 门 备案 的 标准 。 

(4) 企业 标准 。 企 业 生产 的 产品 没有 国家 标准 、 行 业 标准 和 地 方 标准 ， 由 企业 自行 组 织 制 
定 、 作 为 组 织 生产 依 据 的 相应 标准 ， 或 者 在 企业 内 制定 适用 的 ， 比 国家 标准 、 行 业 标 准 或 地 方 
标准 更 严格 的 企业 《内 控 ) 标准 ， 并 按 省 、 自 治 区 、 直 辖 市 人 民政 府 的 规定 备案 的 标准 《不 含 
内 控 标 准 ) 。 

2) 根据 标准 的 性 质 分 类 

根据 标准 的 性 质 可 将 其 分 为 技术 标准 、 管 理 标准 和 工作 标准 。 

(1) 技术 标准 〈Technique Standard) 。 技 术 标 准 是 针对 重复 性 的 技术 事项 而 制定 的 标准 ， 
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是 从 事 生 产 、 建 设 及 商品 流通 时 需要 共同 这 守 的 一 种 技术 依据 。 

(2) 管理 标准 (Administrative Standard) 。 管 理 标 准 是 管理 机 构 为 行使 其 管理 职能 而 制定 
的 具有 特定 管理 功能 的 标准 ， 主 要 用 于 规定 人 们 在 生产 活动 和 社会 实践 中 的 组 织 结构 、 职 责 权 
限 、 过 程 方法 、 程 序 文件 、 资 源 分 配 以 及 方针 、 目 标 、 措 施 、 影 响 管理 的 因素 等 事宜 ， 它 是 合 
理 组 织 国民 经 济 、 正 确 处 理 各 种 生产 关系 、 正 确实 现 合理 分 配 、 提 高 生产 效率 和 效益 的 依据 。 
在 实际 工作 中 通常 按照 标准 所 起 的 作用 不 同 ， 将 管理 标准 分 为 技术 管理 标准 、 生 产 组 织 标准 、 
经 济 管理 标准 、 行 政 管理 标准 、 业 务 和 常理 标准 和 工作 标准 等 。 

(3) 工作 标准 《Work Standard) 。 为 协调 整个 工作 过 程 ， 提 高 工作 质量 和 效率 ， 针 对 具体 
岗位 的 工作 制定 的 标准 ， 是 对 工作 的 内 容 、 方 法 、 程 序 和 质量 要 求 所 制定 的 标准 。 工 作 标 准 的 
内 容 包括 各 岗位 的 职责 和 任务 ， 每 项 任务 的 数量 、 质 量 要 求 及 完成 期 限 ， 完 成 各 项 任务 的 程序 
和 方法 ， 与 相关 岗位 的 协调 、 信 息 传 递 方式 ， 工 作 人 员 的 考核 与 奖 罚 方法 等 。 对 生产 和 业务 处 
理 的 先后 顺序 、 内 容 和 要 达到 的 要 求 所 作 的 规定 称 为 工作 程序 标准 。 以 管理 工作 为 对 象 所 制 定 
的 标准 称 为 管理 工作 标准 。 管 理工 作 标准 的 内 容 主要 包括 工作 范围 、 内 容 和 要 求 ， 与 相关 工作 
的 关系 ， 工 作 和 条件， 工作 人 员 的 职权 与 必 备 条 件 ， 工 作 人 员 的 考核 、 评 价 及 奖惩 办 法 等 。 

3) 根据 标准 化 的 对 象 和 作用 分 类 

根据 标准 的 对 象 和 作用 ， 标 准 可 分 为 基础 标准 、 产 品 标准 、 方 法 标准 、 安 全 标准 、 卫 生 标 
、 环 境 保 护 标准 和 服务 标准 等 。 

4) 根据 法 律 的 约束 性 分 关 

根据 标准 的 法 律 约束 性 ， 可 将 其 分 为 强制 性 标准 和 推荐 性 标准 。 

(1) 强制 性 标准 。 根 据 《 中 华人 民 共 和 国标 准 化 法 》 的 规定 ， 企 业 和 有 关 部 门 对 涉及 其 经 
、 生 产 、 服 务 、 管 理 有 关 的 强制 性 标准 都 必须 严格 执行 ， 任 何 单位 和 个 人 不 得 擅自 更 改 或 降 
标准 。 对 违反 强制 性 标准 而 造成 不 良 后 果 以 至 重大 事故 者 ， 由 法 律 、 行 政法 规 规 定 的 行政 主 
党 部 门 依法 根据 情节 轻重 给 予 行政 处 罚 ， 直 全 由 司法 机 关 妃 究 刑 事 责任 。 

强制 性 标准 是 国家 技术 法 规 的 重要 组 成 ， 它 符合 世界 贸易 组 织 贸 易 技术 壁 鸡 协 定 关 于 “ 技 
术 法 规 ” 的 定义 ， 即 “强制 执行 的 规定 产品 特性 或 相应 加 工 方法 的 包括 可 适用 的 行政 管理 规定 
在 内 的 文件 。 技 术 法 规 也 可 包括 或 专门 规定 用 于 产品 、 加 工 或 生产 方法 的 术语 、 符 号 、 包 装 标 
志 或 标签 要 求 ”。 为 使 我 国 强制 性 标准 与 WTO/MBT 规定 衔接 ， 其 范围 限制 在 国家 安全 、 防 止 
欺诈 行为 、 保 护 人 喘 健 康 与 安全 、 保 护 动 物 植物 的 生命 和 健康 以 及 保护 环境 等 方面 。 

《2) 推荐 性 标准 。 在 生产 、 交 换 、 使 用 等 方面 ， 通 过 经 济 手 段 或 市 场 调节 而 目 愿 采用 的 一 
类 标准 称 为 推荐 性 标准 。 这 类 标准 不 具有 强制 性 ， 任 何 单位 均 有 权 决 定 是 否 采 用 ， 违 反 这 类 标 
准 ， 不 构成 经 济 或 法 律 方面 的 责任 。 应 当 指 出 的 是 ， 推 荐 性 标准 一 经 接受 并 采用 ， 或 由 各 方 商 
定 后 同意 纳入 经 济 合同 中 ， 就 成 为 各 方 必 须 共同 遵守 的 技术 依据 ， 具 有 法 律 上 的 约束 性 。 


2. 标准 的 代号 和 编号 


1) 国际 标准 ISO 的 代号 和 编号 
国际 标准 ISO 的 代号 和 编号 的 格式 为 ISO+ 标 准 号 +[ 杠 + 分 标准 号 ]+ 冒 号 + 发 布 年 号 〈 方 括 
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号 中 的 内 容 可 有 可 无 ) 。 例 如 ，ISO 8402: 1987 和 ISO 9000-1: 1994 是 ISO 标准 的 代号 和 编号 。 

2) 国家 标准 的 代号 和 编号 

我 国 国家 标准 的 代号 由 大 写 汉 语 拼音 字母 构成 ， 强 制 性 国家 标准 的 代号 为 GB， 推 荐 性 国 
家 标准 的 代号 为 GB/T。 

国家 标准 的 编号 由 国家 标准 的 代号 、 标 准 发 布 顺序 号 和 标准 发 布 年 代号 〈4 位 数 ) 组 成 ， 
表示 方法 如 下 : 

(1) 强制 性 国家 标准 编号 : GB XXXXXX 一 XXXX。 

(2) 推荐 性 国家 标准 编号 GBTT XXXXxXx 一 XXXX。 

3) 行业 标准 的 代号 和 编号 

行业 标准 的 代号 由 汉语 拼音 大 写字 母 组 成 ,由 国务 院 各 有 关 行 政 主管 部 门 提 出 其 所 管理 的 
行业 标准 范围 的 申请 报告 ， 国 务 院 标准 化 行政 主管 部 门 审查 确定 并 正式 公布 该 行业 标准 代号 。 
已 正式 公布 的 行业 代号 有 QJ (航天 ) 、SJ〈 电 子 ) 、 卫 〈 机 械 ) 和 耻 “〈 人 金融 系统 ) 等 。 

行业 标准 的 编号 由 行业 标准 代号 、 标 准 发 布 顺序 及 标准 发 布 年 代号 〈4 位 数 ) 组 成 ， 表 示 
方法 如 下 : 

e。 收 强 制 性 行业 标准 编号 : 久久 久久 XXX 一 XXX 义 义 义 。 

e。 推荐 性 行业 标准 编号 ;XXXAMT XXXxXx 一 XXXX。 

4) 地 方 标准 的 代号 和 编号 

地 方 标准 的 代号 由 大 写 汉 语 拼 音 DB 加 上 省 、 自 治 区 、 直 辖 市 行政 区 划 代 码 的 前 两 位 数字 
(如 北京 市 11、 天 津 市 12、 上 海 市 31 等 ) 组 成 。 后 面 加 上 “人 拭 ” 表 示 推 荐 性 地 方 标准 ， 不 加 表 
示 强 制 性 地 方 标准 ， 表 示 方 法 如 下 : 

e。 强制 性 地 方 标准 代号 : DBXX。 

e。 推荐 性 地 方 标准 代号 : DBX X/ 代 。 

地 方 标准 的 编号 由 地 方 标准 代号 、 地 方 标准 发 布 顺 序号 和 标准 发 布 年 代号 〈4 位 数 ) 三 个 
部 分 组 成 ， 表 示 方 法 如 下 : 

e。 强制 性 地 方 标准 编号 : DBXX XXX 一 XXXX。 

e。 推荐 性 地 方 标准 编号 : DBX XMT XXX 一 XXXXX。 

$) 企业 标准 的 代号 和 编号 

企业 标准 的 代号 由 汉语 拼音 大 写字 母 Q 加 矢 线 再 加 企业 代号 组 成 , 企业 代号 可 用 汉语 拼音 
大 写字 母 、 阿 拉 伯 数 字 或 两 者 兼用 组 成 。 企 业 代 号 按 中 央 所 属 企 业 和 地 方 企业 分 别 由 国务 院 有 
天 行政 主管 部 门 或 省 、 上 自治区、 直辖 市 标准 化 行政 主管 部 门 会 同 同 级 有 关 行 政 主管 部 门 加 以 规 
定 。 例 如 ，Q/X X X 。 企 业 标 准 一 经 制定 颁布 ， 即 对 整个 企业 具有 约束 性 ， 是 企业 法 规 性 文件 ， 
没有 强制 性 企业 标准 和 推荐 性 企业 标准 之 分 。 

企业 标准 的 编号 由 企业 标准 代号 、 标 准 发 布 顺序 号 和 标准 发 布 年 代号 〈4 位 数 ) 组 成 ， 表 
示 方 法 为 Q/XXXXXXxX 一 XXXX。 
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3. 国际 标准 和 国外 先进 标准 


国际 标准 和 国外 先进 标准 集中 了 一 些 先进 工业 国家 的 技术 经 验 , 世界 各 国都 积极 采用 国际 
标准 或 先进 的 国外 标准 。 

1) 国际 标准 

国际 标准 是 指 国际 标 准 化 组 织 、 国 际 电 工 委员 会 所 制定 的 标准 ， 以 及 ISO 出 版 的 《国际 标 
准 题 内 关键 词 索引 〈KWIC Index) 》 中 收录 的 其 他 国际 组 织 制定 的 标准 。1983 年 3 月 出 版 的 
KWIC 索引 《第 1 上 厂 ) 中 共 收 录 了 24 个 国际 组 织 制定 的 7600 个 标准 ， 其 中 ISO 标准 占 68%， 
IEC 标准 占 18.35%， 其 他 22 个 国际 组 织 的 标准 共 968 个 ， 占 13.35%。1989 年 出 版 的 KWIC 索引 
(第 2 版 ) 共 收 录 了 ISO 与 IEC 制定 的 800 个 标准 ， 以 及 其 他 27 个 国际 组 织 的 1200 多 条 标准 。 
ISO 推荐 列 入 WIC 索引 的 有 27 个 国际 组 织 ， 一 些 未 列 入 玉 WIC 索引 的 国际 组 织 所 制定 的 某 
些 标 准 也 被 国际 公认 。 这 27 个 国际 组 织 制定 的 标准 化 文献 主要 有 国际 标准 、 国 际 建议 、 国 际 
公约 、 国 际 公约 的 技术 附录 和 国际 代码 ， 也 有 经 各 国政 府 认 可 的 强制 性 要 求 。 对 国际 贸易 业务 
服务 和 信息 交流 具有 重要 影响 。 

2) 国外 先进 标准 

国外 先进 标准 是 指 国际 上 有 权威 的 区 域 性 标准 ,世界 上 经 济 发 达 国 家 的 国家 标准 和 通行 的 
团体 标准 ， 包 括 知 名 企业 标准 在 内 的 其 他 国际 上 公认 的 先进 标准 。 有 具体 包括 以 下 几 种 : 

(1) 国际 上 有 权威 的 区 域 性 标准 。 如 欧洲 标准 化 委员 会 (CEN) 、 欧 洲 电工 标准 化 委员 会 
(CCENELEC) 、 欧 洲 广 播 联 盟 (EBU) 、 亚 洲 大 洋 洲 开放 系统 互联 研究 会 (AOW ) 、 亚 洲 电子 
数据 交换 理事 会 (ASEB) 等 制定 的 标准 。 

(2) 世界 经 济 技术 发 达 国 家 的 国家 标准 。 如 美国 国家 标准 、 德 国 国家 标准 CDIN) 、 英 国 
国家 标准 、 日 本 工业 标准 、 瑞 典 国 家 标准 (SIS) 、 法 国 国家 标准 (NEF) 、 瑞 士 标准 协会 标准 
CSNV) 、 意 大 利 国家 标准 CUNI) 和 俄罗斯 国家 标准 (TOCTP ) 等 。 

63) 国际 公认 的 行业 性 团体 标准 。 如 美国 材料 与 试验 协会 标准 (ASTM) 、 美 国 石油 学 会 
标准 (API) 、 美 国 盏 用 标准 (MIL) 、 美 国电 气 制造 商 协会 标准 (NEMA) 、 美 国电 影 电视 工 
程 师 协会 标准 CSMPTE) 、 美 国 机 械 工 程 师 协会 标准 (ASME) 和 喘 国 石油 学 会 标准 〈 卫 ) 等 。 

(4) 国际 公认 的 先进 企业 标准 。 如 美国 IBM 公司 、 美 国 HP 公司 、 芬 兰 诺基亚 公司 和 瑞士 
钟表 公司 等 的 企业 标准 。 

3) 采用 国际 标准 和 国外 先进 标准 的 原则 

在 采用 国际 标准 和 国外 先进 标准 时 ， 应 遵循 如 下 原则 : 

(1) 根据 我 国 国 民 经 济 发 展 的 需要 ， 确 定 一 定时 期 采用 国际 标准 和 国外 先进 标准 的 方向 、 
任务 。 当 国民 经 济 处 于 建立 社会 主义 经 济 体系 初期 ， 采 用 国际 标准 和 国外 先进 标准 就 是 要 从 战 
略 上 、 从 国家 长 远 利 益 上 考虑 ， 突 出 国际 标准 中 的 重大 基础 标准 、 通 用 方法 标准 的 采用 问题 。 
当 国 民 经 济 发 展 到 一 定 阶 段 ， 如 产品 质量 要 赶 超 世界 先进 水 平时 ， 对 国际 标准 和 国外 先进 标准 
中 的 先进 产品 标准 和 质量 标准 就 成 为 采用 的 重要 对 象 。 

(2) 很 多 国际 标准 是 在 国际 上 取得 多 年 实践 经 验 后 被 公认 的 ， 一 般 来 说 不 必 都 去 进行 实践 
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验证 。 为 加 快 采 用 国际 标准 和 国外 先进 标准 的 速度 ， 一 般 都 简化 制定 手续 ， 基 本 上 采取 “ 先 拿 
来 用 ， 然 后 实践 验证 ， 再 补充 修改 ”的 模式 。 

(3) 促进 产品 质量 水 平 的 提高 是 当前 采用 国际 标准 和 国外 先进 标准 的 一 项 重要 怕 则 。 产 品 
贡 量 问题 首先 有 标准 问题 ， 只 有 采用 了 先进 的 国际 标准 或 先进 的 国外 标准 ， 才 能 提高 我 国 的 标 
准 水 平 。 只 有 提高 了 标准 水 平 ， 才 能 有 力 地 促进 产品 质量 的 提高 。 如 果 要 赶 超 世 界 先 进 水 平 ， 
就 要 采用 国际 标准 和 国外 先进 标准 。 

(4) 要 紧密 结合 我 国 实际 情 况 、 自 然 资 源 和 自然 条 件 ， 需 符合 国家 的 有 关 法 令 、 法 规 和 政 
策 ， 做 到 技术 先进 、 经 济 合理 、 安 全 可 靠 、 方 便 使 用 、 促 进 生产 力 发 展 。 

(5$) 对 于 国际 标准 中 的 基础 标准 、 方 法 标准 、 原 材料 标准 和 通用 零 部 件 标准 ， 需 要 先行 采 
用 。 通 过 的 基础 标准 、 方 法 标准 以 及 有 关 安 人 全、 卫生 和 环境 保护 等 方面 的 标准 ， 一 般 应 与 国际 
标准 协调 一 致 。 

(6) 在 技术 引进 和 设备 进口 中 采用 国际 标准 ， 应 符合 《技术 引进 和 设备 进口 标准 化 审查 管 
理 办 法 《试行 ) 》 中 的 规定 。 例 如 ， 原 则 上 不 引进 和 进口 英制 设备 ， 等 等 。 

《7) 当 国 际 标准 不 能 满足 要 求 或 尚 无 国际 标准 时 , 应 参照 上 述 原 则 积极 采用 国外 先进 标准 。 

4) 采用 程度 

采用 国际 标准 或 国外 先进 标准 的 程度 ， 分 为 等 同 采用 、 等 效 采 用 和 非 等 效 采 用 。 

(1) 等 同 采用 ， 指 国家 标准 等 同 于 国际 标准 ， 仅 有 少量 或 没有 编辑 性 修改 。 编 辑 性 修改 是 
指 不 改变 标准 技术 的 内 容 的 修改 ， 如 纠正 排版 或 印刷 错误 ， 标 点 符号 的 改变 ， 增 加 不 改变 技术 
内 容 的 说 明 、 提 示 等 。 因 此 ， 可 以 认为 等 同 采 用 就 是 指 国 家 标准 与 国际 标准 相同 ， 不 做 或 稍 做 
编辑 性 修改 ， 编 写 方法 完全 相对 应 。 

(2) 等 效 采 用 ， 指 国家 标准 等 效 于 国际 标准 ， 技 术 内 容 上 只 有 很 小 差异 。 编 辑 上 不 完全 相 
同 ， 编 写 方法 不 完全 相对 应 。 如 奥地利 标准 ONORMS 5022 内 河 船舶 噪声 测量 标准 中 ， 包 括 一 
份 试 验 报 告 的 推荐 格式 ， 而 相应 的 国际 标准 ISO 2922 中 没有 此 内 容 。 

3) 非 等 效 采用 ， 指 国家 标准 不 等 效 于 国际 标准 ， 在 技术 上 有 重大 技术 差异 。 即 国家 标准 
中 有 国际 标准 不 能 接受 的 条 亚 ， 或 者 在 国际 标准 中 有 国家 标准 不 能 接受 的 条 葡 。 在 技术 上 有 重 
大 差异 的 情况 下 ， 虽 然 国 家 标准 制定 时 是 以 国际 标准 为 基础 ， 并 在 很 大 程度 上 与 国际 标准 相 适 
应 ， 但 不 能 使 用 “等 效 ” 这 个 术语 。 通 常 包 括 以 下 三 种 情况 : 

GO 国家 标准 包含 的 内 容 比 国际 标 准 少 。 国 家 标准 较 国 际 要 求 低 或 选 国 际 标准 中 的 部 分 内 
容 。 国 家 标准 与 国际 标准 之 间 没 有 互相 接受 条 款 的 “ 逆 定 理 ” 情 况 。 

@) 国家 标准 包含 的 内 容 比 国际 标准 多 。 国 家 标准 增加 了 内 容 或 类 型 ， 且 具有 较 高 要 求 等 ， 
也 没有 “ 逆 定 理 ” 情 况 。 

G@) 国家 标准 与 国际 标准 有 重 二 。 部 分 内 容 完全 相同 或 技术 上 相同 ， 但 在 其 他 内 容 上 却 互 
不 包括 对 方 的 内 容 。 

采用 国际 标准 或 国外 先进 标准 ， 按 国家 标准 GB 161 的 规定 编写 。 采 用 程度 符号 用 缩写 字 
母 表示 ， 等 同 采用 用 idt 或 IDT 表示 ， 等 效 采 用 用 eqv 或 EQYV 表示 ,， 非 等 效 采 用 用 neq 或 NEQ 
表示 。 有 具体 如 下 : 
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四 等 同 采用 : GB XXXXx 一 XXXXx (idtISO XXXX 一 XXXX) 。 
@) 等 效 采 用 : GB XXXX 一 XXXX (eqvISO XXXxxXx 一 XXXXx) 。 
四 非 等 效 采 用 ，GB XXXX 一 XXXX (neqlISO XXXX 一 XXXX) 。 


6.1.2 ”信息 技术 标准 化 


信息 技术 标准 化 是 围绕 信息 技术 开发 、 信 息 产 品 的 研制 和 信息 系统 建设 、 运 行 与 管理 而 开 
展 的 一 系列 标准 化 工作 。 其 中 主要 包括 信息 技术 术语 、 信 息 表 示 、 汉 字 信 息 处 理 技术 、 媒 体 、 
软件 工程 、 数 据 库 、 网 络 通信 、 电 子 数 据 交 换 、 电 子 卡 、 管 理 信息 系统 和 计算 机 辅助 技术 等 方 
面 的 标准 化 。 


1. 信息 编码 标准 化 


编码 是 一 种 信息 表现 形式 和 信息 交换 的 技术 手段 。 对 信息 进行 编码 实际 上 是 对 文字 、 音 频 、 
图 形 和 图 像 等 信息 进行 处 理 ， 使 之 量化 ， 从 而 便于 利用 各 种 通信 设备 进行 信息 传递 和 利用 计算 
机 进行 信息 处 理 。 作 为 一 种 信息 交换 的 技术 手段 ， 必 须 保 证 信息 交换 的 一 致 性 。 为 了 统一 编码 
系统 ， 人 们 借助 了 标准 化 这 个 工具 ， 制 定 了 各 种 标准 代码 ， 如 国际 上 比较 通用 的 ASCII 码 《〈“ 顽 
国信 息 区 换 标准 代码 ) 。 


2. 汉字 编码 标准 化 


汉字 编码 是 对 每 一 个 汉字 按 一 定 的 规律 用 若 干 个 字母 、 数 字 、 符 号 表示 出 来 。 汉 字 编 码 的 
方法 很 多 ， 主 要 有 数字 编码 ， 如 电报 码 、 四 角 号 码 ; 拼音 编码 ， 即 用 汉字 的 拼音 字母 对 汉字 进 
行 编码 ;字形 编码 ， 即 用 汉字 的 偏旁 部 首 和 笔画 结构 与 各 个 英文 字母 相对 应 ， 再 用 英文 字母 的 
组 合 代 表 相 应 的 汉字 。 对 于 每 一 种 汉字 编码 ， 计 算 机 内 部 都 有 一 种 相应 的 二 进 制 内 部 码 ， 不 同 
的 汉字 编码 在 使 用 上 不 能 奉 换 。 

我 国 在 汉字 编码 标准 化 方面 取得 的 突出 成 就 是 《信息 交换 用 汉字 编码 字符 集 》 国 家 标准 的 
制定 。 该 字符 集 共 有 6 集 。 其 中 ，GB 2312 一 1980 信息 交换 用 汉字 编码 字符 集 是 基本 集 ， 收 入 
常用 基本 汉字 和 字符 7445 个 。GB 7589 一 1987 和 GB 7590 一 1987 分 别 是 第 二 辅助 集 和 第 四 畏 
助 集 ， 各 收入 现代 规范 汉字 7426 个 。GBM 12345 一 1990 是 辅助 集 ， 它 与 第 三 辅助 集 和 第 五 辅 
助 集 分 别 是 与 基本 集 、 第 二 辅助 集 和 第 四 辅助 集 相 对 应 的 老 体 字 的 汉字 字符 集 。 除 汉字 编码 标 
准 化 外 ， 汉 字 信 息 处 理 标 准 化 的 内 容 还 包括 汉字 键盘 输入 的 标准 化 ， 汉 字 文 字 识 别 输 入 和 语音 
识别 输入 的 标准 化 ， 汉 字 输 出 字体 和 质量 的 标准 化 ， 汉 字 属 性 和 汉语 词语 的 标准 化 等 。 

3. 软件 工程 标准 化 

软件 工程 的 目的 是 改善 软件 开发 的 组 织 ， 降 低 开 发 成 本 ， 纵 短 开 发 时 间 ， 提 高 工作 效率 ， 
提高 软件 质量 。 它 在 内 容 上 包括 软件 开发 的 软件 概念 形成 、 需 求 分 析 、 计 划 组 织 、 系 统 分 析 与 


设计 、 结 构 程 序 设计 、 软 件 调试 、 软 件 测试 和 验收 、 安 装 和 检验 、 软 件 运 行 和 维护 ， 以 及 软件 
运行 的 终止 。 同 时 还 有 许多 技术 管理 工作 ， 如 过 程 管理 、 产 品 管理 、 资 源 管 理 ， 以 及 确认 与 验 
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证 工作 ， 如 评审 与 审计 、 产 品 分 析 等 。 软 件 工程 最 显著 的 特点 就 是 把 个 别 的 、 自 发 的 、 分 散 的 、 
手工 的 软件 开发 变 成 一 种 社会 化 的 软件 生产 方式 。 软 件 生产 的 社会 化 必然 要 求 软 件 工程 实行 标 
准 化 。 

软件 工程 标准 化 的 主要 内 容 包 括 过 程 标准 〈 如 方法 、 技 术 和 度量 等 ) 、 产 品 标准 〈 如 需求 、 
设计 、 部 件 、 描 述 、 计 划 和 报告 等 ) 、 专 业 标准 〈 如 道德 准则 、 认 证 等 ) 、 记 法 标准 〈 如 术语 、 
表示 法 和 语言 等 ) 、 开 发 规范 《准则 、 方 法 和 规程 等 ) 、 文 件 规范 〈 文 件 范围 、 文 件 编制 、 文 
件 内 容 要 求 、 编 写 提示 ) 、 维 护 规范 〈 软 件 维护 、 组 织 与 实施 等 ) 以 及 质量 规范 《软件 质量 保 
证 、 软 件 配置 管理 、 软 件 测 试 和 软件 验收 等 ) 等 。 

我 国 1983 年 $ 月 成 立 “ 计 算 机 与 信息 处 理 标准 化 技术 委员 会 ”, 下 设 13 个 分 技术 委员 会 ， 
其 中 程序 设计 语言 分 技术 委员 会 和 软件 工程 分 技术 委员 会 与 软件 相关 。 我 国 推行 软件 工程 标准 
化 工作 的 总 原则 是 向 国际 标准 靠拢 ， 对 于 能 够 在 我 国 适 用 的 标准 全 部 按 等 同 采用 的 方法 ， 以 促 
进 国际 交流 。 现 已 得 到 国家 批准 的 软件 工程 国家 标准 如 下 : 

(1) 基础 标准 ， 有 具体 包括 : 

J 信息 处 理 ”程序 构造 及 其 表示 的 约定 GB/T 13502 一 1992。 

@) 信息 处 理 系统 计算 机 系统 配置 图 符号 及 约定 GB/T 14085 一 1993。 

@) 信息 技术 ”软件 工程 术语 GBMT 11457 一 2006 。 

(2) 开发 标准 ， 有 具体 包括 : 

GD 信息 技术 软件 生存 周期 过 程 GB/T GB 8566 一 2007。 

@) 计算 机 软件 测试 规范 GB/T 155$32 一 2008。 

(3) 文档 标准 ， 有 具体 包括 : 

J 计算 机 软件 文档 编制 规范 GB/T 8567 一 2006。 

@) 计算 机 软件 需求 规格 说 明 规 范 GB/T 9385 一 2008。 

@) 计算 机 软件 测试 文件 编制 规范 GB/T 9386 一 2008。 

4) 管理 标准 ， 具 体 包括 : 

G 计算 机 软件 可 靠 性 和 可 维护 性 管理 GB/MT 14394 一 2008。 

@) 系统 与 软件 工程 ”系统 与 软件 质量 要 求 和 评价 (SQuaRE) 第 10 部 分 : 系统 与 软件 
质量 模型 GB/T 25000.10 一 2016。 


6.1.3 ”标准 化 组 织 


ISO 和 IEC 是 世界 上 两 个 最 大 、 最 具有 权威 的 国际 标准 化 组 织 。 目 前 ， 由 ISO 确认 并 公布 
的 国际 标准 化 组 织 还 有 国际 计量 局 (BIPM) 、 联 合 国教 科 文 组 织 CUNESCO ) 、 世 界 卫 生 组织 
(WHO) 、 世 界 知识 产权 组 织 〈WIPO) 、 国 际 信息 与 文献 联合 会 (FID) 、 国 际 法 制 计 量 组 织 
(OIML ) 等 27 个 国际 组 织 。 

(1) 国际 标准 化 组 织 〈International Organization for Standardization，ISO) 。 国 际 标准 化 组 
织 是 世界 上 最 大 的 非 政 府 性 的 ， 由 各 国标 准 化 团体 〈ISO 成 员 团体 ) 组 成 的 世界 性 联合 专门 机 
构 。 它 成 立 于 1947 年 2 月 ， 其 宗旨 是 在 世界 范围 内 促进 标准 化 工作 的 发 展 ， 以 利于 国际 资源 
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的 交流 和 合理 配置 ， 扩 大 各 国 在 知识 、 科 学 、 技 术 和 经 济 领 域 的 合作 。 其 主要 活动 是 制定 国际 
标准 ， 协 调 世 界 范 围 内 的 标准 化 工作 ， 组 织 各 成 员 国 和 技术 委员 会 进行 交流 ， 以 及 与 其 他 国际 
性 组 织 进 行 合作 , 共同 研究 有 关 标 准 问 题 , 颁布 ISO 国际 标准 。 制 定 国际 标准 的 工作 通常 由 ISO 
的 技术 委员 会 完成 ， 各 成 员 团 体 若 对 某 技术 委员 会 确立 的 项 目 感 兴趣 ， 均 有 权 参 加 该 委员 会 的 
工作 。 与 ISO 保持 联系 的 各 国际 组 织 〈 官 方 的 或 非 官 方 的 ) 也 可 参加 有 关 工 作 。 此 外 ，ISO 还 
负责 协调 世界 范围 内 的 标准 化 工作 ， 组 织 各 成 员 国 和 技术 委员 会 进行 情报 交流 ， 并 和 其 他 国际 
性 组 织 保持 联系 和 人 合作， 共同 研 究 感 兴趣 的 有 关 标 准 化 问题 。 在 电工 技术 标准 化 方面 ，ISO 与 
IEC 保持 密切 合作 关系 。ISO 的 工作 语言 是 闫 文 、 法 文 、 俄 文 ， 会 址 设 在 日 内 瓦 。 

ISO 的 成 员 团 体 分 正式 成 员 和 通信 成 员 。 正 式 成 员 是 指 由 各 国 最 有 代表 性 的 标准 化 机 构 代 
表 其 国家 或 地 区 参加 ， 并 且 只 允许 每 个 国家 有 一 个 组 织 参加 。 通 信 成 员 是 尚未 建立 全 国 性 标准 
化 机 构 的 国家 ， 一 般 不 参与 ISO 的 技术 工作 ， 但 可 参与 了 解 工作 进展 ， 当 条 件 成 熟 时 ， 可 以 通 
过 一 定 程序 成 为 正式 成 员 。1947 年 ，ISO 成 立时 只 有 25 个 成 员 团体 ， 但 经 过 多 年 的 发 展 ， 现 
有 165 个 成 员 〈 包 括 国 家 和 地 区 ) 。 

成 员 全 体 大 会 是 ISO 的 最 高 权力 机 构 。 理 事 会 是 ISO 常务 机 构 ， 由 正 、 副 主席 、 司 库 和 
18 个 理事 国 代 表 组 成 ， 每 年 召开 一 次 会 议 ， 理 事 会 成 员 任期 三 年 ， 每 年 改选 /3 的 成 员 。 理 事 
会 下 设 若干 专门 委员 会 ， 其 中 之 一 是 技术 委员 会 (TC) ， 技 术 委 员 会 完成 ISO 的 技术 工作 , ISO 
按 专业 性 质 设 立 技术 委员 会 ， 各 技术 委员 会 根据 工作 需要 可 设立 铬 干 分 委员 会 (SC) ，TC 和 
SC 下 面 可 设立 铬 干 工 作 组 (WG) 。TC 和 SC 的 成 员 分 为 积极 参加 成 员 (P 成 员 ) 和 观察 员 (O 
成 员 ) 两 种 。P 成 员 可 参与 TC、SC 的 技术 工作 ， 而 O 成 员 则 只 能 了 解 工 作 进度 和 得 到 技术 组 
织 的 信息 资料 ， 不 参加 技术 工作 。 每 个 TC 或 SC 均 从 了 成 员 中 任命 一 个 成 员 主 持 秘书 处 并 领 
导 该 委员 会 或 分 委员 会 。 

(2) 国际 电工 委员 会 (International Electrotechnical Commission，IEC) 。 国 际 电工 委 员 会 
成 立 于 1906 年 ， 是 世界 上 最 早 的 非 政 府 性 国际 电工 标准 化 机 构 ， 是 联合 国 经 社 理事 会 
(ECOSOC) 的 甲 级 咨询 组 织 。 自 1947 年 ISO 成 立 后 ，IEC 曾 作为 一 个 电工 部 并 入 ISO， 但 在 
技术 上 和 财务 上 仍 保持 独立 。1976 年 ， 双 方 又 达成 新 协议 ，IEC 从 ISO 中 分 离 出 来 ， 两 组 织 
自 独 立 ， 自 愿 合 作 ， 互 为 补充 ， 共 同 建立 国际 标准 化 体系 ，IEC 负责 有 关 电 气 工 程 及 电子 领域 
国际 标准 化 工作 ， 其 他 领域 则 由 ISO 负责 。 

IEC 的 工作 领域 包括 电工 领域 各 个 方面 , 如 电力 、 电 子 、 电 信和 原 子 能 方面 的 电工 技术 等 。 
理事 会 是 IEC 的 最 高 权利 机 构 ， 会 址 设 在 日 内 瓦 。IEC 理事 会 下 设 执行 雪 员 会 和 合格 评定 局 。 
执行 委员 会 负责 管理 技术 委员 会 和 技术 咨询 委员 会 ; 合格 评定 局 管理 各 认证 委员 会 ， 在 组 织 
自 成 体系 。 它 是 世界 范围 的 自愿 认证 机 构 ， 其 宗旨 是 促进 国家 或 国际 间 的 目 由 贸易 。 按 照 严格 
的 认证 程序 ， 以 国际 标准 为 依据 对 电工 产品 生产 广 家 的 技术 力量 和 管理 水 平实 行 全 面 的 审核 和 
评审 ; 对 要 求 认证 的 元 器 件 ,， 按 标准 要 求 进行 测试 检验 。 对 符合 质量 要 求 的 产品 授 以 合格 证 书 ， 
以 确保 产品 质量 达到 和 保持 标准 要 求 的 质量 水 平 。 

(3) 区 域 标准 化 组 织 。 区 域 是 指 世 界 上 按 地 理 、 经 济 或 民族 利益 划分 的 区 域 。 参 加 组 织 华 
机 构 有 的 是 政府 性 的 ， 有 的 是 非 政府 性 的 ， 是 为 发 展 同一 地 区 或 毗邻 国家 间 的 经 济 及 贸易 ， 维 
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护 该 地 区 国家 的 利益 ， 协 调 本 地 区 各 国标 准 和 技术 规范 而 建立 的 标准 化 机 构 。 其 主要 职能 是 制 
定 、 发 布 和 协调 该 地 区 的 标准 。 主 要 包括 : 

@ 欧洲 标准 化 委员 会 (CEN) 。CEN 成 立 于 1961 年 ， 是 由 欧洲 经 济 共 同体 (EEC) 、 欧 
洲 上 自由 联盟 (EFTA) 所 属国 家 的 标准 化 机 构 所 组 成 的 ， 主 要 任务 是 协调 各 成 员 国 的 标准 ， 制 定 
必要 的 欧洲 标准 (EN) ， 实 行 区 域 认 证 制度 。 

@) 欧洲 电工 标准 化 委员 会 (CENELEC) 。CENELEC 是 1973 年 由 欧洲 电工 标准 协调 委员 
会 CCENEL) 和 欧洲 电工 标准 协调 委员 会 共同 市 场 小 组 CCENEL COM) 合并 组 成 的 ， 主 要 是 
协调 各 成 员 国电 器 和 电子 领域 的 标准 ， 以 及 电子 元 器 件 质 量 认 证 ， 制 定 部 分 欧洲 标准 。 

@) 亚洲 标准 咨询 委员 会 (ASAC) 。ASAC 成 立 于 1967 年 ， 由 联合 国 亚 洲 及 太平 洋 经 社 

员 会 协商 建立 ， 主 要 是 在 ISO、IEC 标准 的 基础 上 上， 协调 各 成 员 国 标准 化 活动 ， 制 定 区 域 性 
标准 。 

Q 国际 电信 联盟 〈JInternational Telecommunication Union，ITU) 。ITU 于 1865 年 5 月 在 
巴黎 成 立 ，1947 年 成 为 联合 国 的 专门 机 构 ， 是 世界 各 国政 府 的 电信 主管 部 门 之 间 协 调 电 信 事 务 
的 一 个 国际 组 织 ， 研 究 制 定 有 关 电 信 业 务 的 规章 制度 ,通过 决议 提出 推荐 标准 ,收集 有 关 情 报 。 
ITU 的 目的 和 任务 是 维持 和 发 展 国际 合作 ， 以 改进 和 合理 利用 电信 ， 促 进 技术 设施 的 发 展 及 有 
效应 用 ， 以 提高 电信 业务 的 效率 。 

4) 行业 标准 化 组 织 。 行 业 标 准 化 组 织 是 指 制定 和 公布 适应 于 茶 个 业务 领域 标准 的 专业 标 
准 化 团体 ， 以 及 在 其 业务 领域 开展 标准 化 工作 的 行业 机 构 、 学 术 团 体 或 国防 机 构 。 主 要 包括 : 

GD 美国 电气 与 电子 工程 师 协 会 (Institute of Electrical and Electronics Engineers，IEEE) 。 
IEEE 是 由 美国 电气 工程 师 协 会 (AIEE) 和 美国 无 线 电 工程 师 协 会 (CIRE) 于 1963 年 合并 而 成 ， 
是 美国 规模 最 大 的 专业 协会 。IEEE 主要 制定 的 标准 内 容 有 电气 与 电子 设备 、 试 验方 法 、 元 器 件 、 
人 符号、 定义 以 及 测试 方法 等 。 近 年 来 ， 该 协会 专门 成 立 了 软件 标准 分 技术 委员 会 (SESS) ， 积 
极 开 展 软件 标准 化 活动 ， 取 得 了 显著 成 果 ， 受 到 了 软件 界 的 关注 。IEEE 通过 的 标准 常 利 要 报请 
ANSI 审批 ， 使 其 具有 国家 标准 的 性 质 。 因 此 ，IEEE 公布 的 标准 常 冠 有 ANSI 字 头 。 例 如 ， 
ANSIIEEE Str 828 一 1983《 软 件 配置 管理 计划 标准 》。 

@ 美国 国防 部 批准 、 颁 布 , 适用 于 美国 国防 部 门 和 美军 内 部 使 用 的 标准 , 代号 为 DOD (条 
用 公制 计量 单位 的 以 DOD 表示 ) 和 MIL。 

G@) 我 国 国 防 科 学 技术 工业 委员 会 批准 、 颁 布 适合 于 国防 部 门 和 军队 使 用 的 标准 ， 代 号 为 
GJB。 例 如 ，1988 年 发 布 实施 的 GJB 473-88《 军 用 软件 开发 规范 》。 

《35) 国家 标准 化 组 织 。 国 家 标准 化 组 织 是 指 在 国家 范围 内 建立 的 标准 化 机 构 ， 以 及 政府 确 
认 《 或 承认 ) 的 标准 化 团体 ， 或 者 接受 政府 标准 化 管理 机 构 指 导 并 有 具有 权威 性 的 民间 标准 化 团 
体 。 这 些 组织 主 要 如 下 : 

J 美国 国家 标准 协会 (ANSI) 。ANSI 是 非 营利 性 质 的 民间 标准 化 团体 ， 但 它 实 际 上 已 
成 为 美国 国家 标准 化 中 心 ， 美 国 各 界 标准 化 活动 都 围绕 它 开 展 。 通 过 它 使 政府 有 关系 统 和 民间 
系统 相互 配合 ， 起 到 了 政府 和 民间 标准 化 系统 之 间 的 桥梁 作用 。ANSI 协调 并 指导 美国 全 国 的 
标准 化 活动 ， 给 标准 制定 、 研 究 和 使 用 单位 以 帮助 ， 提 供 国 内 外 标准 化 情报 。ANSI 本 身 很 少 
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制定 标准 ， 主 要 是 将 其 他 专业 标准 化 机 构 的 标准 经 协商 后 冠 以 ANSI 代号 ， 成 为 美国 国家 标准 。 

@) 英国 标准 协会 (BSI) 。BSI 是 世界 上 最 早 的 全 国 性 标准 化 机 构 ， 它 是 政府 认可 的 、 独 
立 的 、 非 营利 性 的 民间 标准 化 团体 ， 主 要 任务 是 为 增产 节约 而 努力 协调 生产 者 和 用 户 之 间 的 关 
系 ， 促 进 生 产 ， 达 到 标准 化 ， 制 定 和 修订 更 国 标准 ， 并 促进 其 贯彻 执行 ， 以 协会 名 义 ， 对 各 种 
标志 进行 登记 ， 并 颁发 许可 证 ; 必要 时 采取 各 种 行动 ， 保 护 协会 利益 ， 对 外 代表 英国 参加 国际 
或 区 域 标准 化 活动 。 

@) 德国 标准 化 协会 CDIN) 。DIN 始 建 于 1917 年 , 当时 称 为 德国 工业 标准 委员 会 (NADI) ， 
19256 年 改 为 德国 标准 委员 会 (DNA) ，1975 年 又 改名 为 联邦 德国 标准 化 学 会 。DIN 是 一 个 经 
注册 的 公益 性 民间 标准 化 团体 ， 前 联邦 政府 承认 它 为 联邦 德国 和 西柏 林 的 标准 化 机 构 。 

由 法 国标 准 化 协会 (AFNOR) 。AFNOR 成 立 于 1926 年 ， 它 是 一 个 公益 性 的 民间 团体 ， 
也 是 一 个 被 政府 承认 ， 为 国家 服务 的 组 织 。1941 年 5 月 24 日 颁布 的 一 项 法 令 确 认 AFNOR 
接受 法 国政 府 的 标准 化 管理 机 构 “ 标 准 化 专署 ”指导 ， 按 政府 指导 开展 工作 ， 并 定期 癌 标 准 
化 专员 汇报 工作 。AFNOR 负责 标准 的 制订 、 修 订 工 作 ， 宣 传 、 出 版 、 发 行 标准 ， 实 施 产品 质 


量 认证 。 
6.1.4 1SO 9000 标准 简介 


ISO 9000 标准 是 一 系列 标准 的 统称 。ISO 9000 系列 标准 由 ISO/MTC176 制定 。TC176 是 ISO 
的 第 176 个 技术 委员 会 〈 质 量 管理 和 质量 保证 技术 委员 会 ) ， 专 门 负责 制定 质量 管理 和 质量 保证 
技术 的 标准 。 经 过 TC176 多 年 的 协调 以 及 有 关 国 家 质量 管理 专家 近 10 年 的 不 懈 努 力 ， 总 结 了 
美国 、 莫 国 和 加 拿 大 等 工业 发 达 国 家 的 质量 保证 技术 实践 的 经 验 ， 于 1986 年 6 月 15 日 正式 发 
布 了 ISO 8402《 质 量 一 一 术语 》 标 准 ， 又 于 1987 年 3 月 正式 公布 了 ISO 9000~ISO 9004 的 5 
项 标准 ， 这 5 项 标准 与 ISO 8402: 1986 一 起 统称 为 ISO 9000: 1987 系列 标准 。2000 年 12 月 
15 日 ，ISO 9000: 2000 系列 标准 正式 发 布 实施 。 

ISO 9000 系列 标准 的 质量 管理 模式 为 企业 管理 注入 新 的 活力 和 生机 , 给 质量 管理 体系 提供 
了 评价 基础 , 为 企业 进行 世界 贸易 带 来 质量 可 信和 度 。 从 ISO 9000 系列 标准 的 总 变 过 程 可 见 , ISO 
9001: 1987 系列 标准 从 自我 保证 的 角度 出 发 ， 更 多 关注 的 是 企业 内 部 的 质量 管理 和 质量 保证 ; 
ISO 9001: 1994 系列 标准 则 通过 20 个 质量 管理 体系 要 素 ， 把 用 户 要 求 、 法 规 要 求 及 质量 保证 
的 要 求 纳入 标准 的 范围 中 ; ISO 9001: 2000 系列 标准 在 标准 构思 和 标准 目的 等 方面 体现 了 有 共有 
时 代 气 县 的 变化 ,过程 方 法 的 概念 ， 顾 客 需 求 的 考虑 ， 以 及 将 持续 改进 的 思想 贯穿 于 整个 标准 ， 
把 组 织 的 质量 管理 体系 满足 顾客 要 求 的 能 力 和 程度 体现 在 标准 的 要 求 之 中 。 


1.ISO 9000: 2000 系列 标准 文件 结构 


ISO 9000: 2000 系列 标准 现 有 14 项 标准 ， 由 4 个 核心 标准 、 一 个 文 持 标准 、6 个 技术 报 
告 、3 个 小 册子 和 一 个 技术 规范 构成 ， 如 表 6-1 所 示 。 
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表 6-1 ISO 9000:， 2000 系列 标准 文件 结构 


ISO 9000: 2000《 质 量 管理 体系 ”基础 和 术语 》 

ISO 9001: 2000《 质 量 管理 体系 ”要 求 》 

ISO 9004: 2000《 质 量 管理 体系 ”业绩 改进 指南 》 

ISO 19011: 2000《 质 量 和 或) 环境 管理 体系 审核 指南 》 
支持 标准 ISO 10012《 测 量 设 备 的 质量 保证 要 求 》 

ISO 10006《 项 目 管理 质量 指南 》 

ISO 10007《 技 术 状 态 管理 指南 》 

ISO 10013《 质 量 管理 体系 ”文件 管理 指南 》 

ISO 10014《 质 量 管理 ”财务 与 经 济 效益 实现 指南 》 

ISO 10015《 质 量 管理 培训 指南 》 

ISO 10017《 统 计 技 术 在 ISO 9001:2000 国际 标准 中 的 应 用 指南 》 

质量 管理 原理 
小 册子 选择 和 使 用 指南 

小 型 企业 的 应 用 指南 


核心 标准 


技术 报告 


2. ISO 9000:， 2000 核心 标准 简介 


ISO 9000: 2000 包括 以 下 四 个 核心 标准 : 

(1) ISO 9000: 2000《 质 量 管理 体系 基础 和 术语 》。 该 标准 描述 了 质量 管理 体系 的 基础 ， 
并 规定 了 质量 管理 体系 的 术语 和 基本 原理 。 术 语 标准 是 讨论 问题 的 前 提 ， 统 一 术语 是 为 了 明确 
概念 ， 建 立 共 同 的 语言 。 

该 标准 在 总 结 了 质量 管理 经 验 的 基础 上 ， 明 确 了 一 个 组 织 在 实施 质量 管理 中 必须 遵循 的 8 
项 质量 管理 原则 ， 也 是 ISO 9000: 2000 系列 标准 制定 的 指导 思想 和 理论 基础 。 该 标准 提出 的 
10 个 部 分 ，87 个 术语 ， 在 语言 上 强调 采用 非 技 术 性 语言 ， 使 所 有 潜在 用 户 易 于 理解 。 为 便于 
使 用 ， 在 标准 附录 中 ， 推 荐 了 以 “概念 网 ”方式 来 描述 相关 术语 的 关系 。 

(2) ISO 9001: 2000《 质 量 管理 体系 要 求 》。 该 标准 提供 了 质量 管理 体系 的 要 求 ， 供 组 
织 证实 其 提供 满足 顾客 和 适用 法 规 要 求 产 品 的 能 力 时 使 用 。 组 织 通过 有 效 地 实施 体系 ， 包 括 过 
程 的 持续 改进 和 预防 不 合格 ， 使 顾客 满意 。 该 标准 是 用 于 第 三 方 认 证 的 唯一 质量 管理 体系 要 求 
标准 ， 通 常用 于 企业 建立 质量 管理 体系 以 及 申请 认证 。 它 主要 通过 对 申请 认证 组 织 的 质量 管理 
体系 提出 各 项 要 求 来 规范 组 织 的 质量 管理 体系 ， 主 要 分 为 $ 大 模块 的 要 求 ， 即 质量 管理 体系 、 
管理 职责 、 资 源 管 理 、 产 品 实 现 、 测 量 分 析 和 改进 ,构成 一 种 过 程 方法 模式 的 结构 ,符合 PDCA 
循环 规则 ， 且 通过 持续 改进 的 环节 使 质量 管理 体系 的 水 平 达到 螺旋 式 上 升 的 效应 ， 其 中 每 个 模 
块 中 又 有 许多 分 条 款 。 

(3) ISO 9004: 2000《 质 量 管理 体系 业绩 改进 指南 》。 该 标准 给 出 了 改进 质量 管理 体系 
业绩 的 指南 ， 描 述 了 质量 管理 体系 应 包括 持续 改进 的 过 程 ， 强 调 通过 改进 过 程 ， 提 高 组 织 的 业 
绩 ， 使 组 织 的 顾客 和 其 他 相关 方 满意 。 

该 标准 是 和 ISO 9001: 2000 协调 一 致 并 可 一 起 使 用 的 质量 管理 体系 标准 ， 两 个 标准 采用 
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相同 的 原则 ， 但 应 注意 其 适用 范围 不 同 ， 而 且 ISO 9004 标准 不 拟 作 为 ISO 9001 标准 的 实施 指 
南 。 通常 情况 下 , 当 组 织 的 管理 者 希望 超越 ISO 9001 标准 的 最 低 要 求 , 追求 增长 的 业绩 改进 时 ， 
一 般 以 ISO 9004 标准 作为 指南 。 

(4) ISO 19011: 2001《 质 量 和 【或 ) 环境 管理 体系 审核 指南 》。 该 标准 提供 了 质量 管理 体 
系 和 环境 管理 体系 审核 的 基本 原则 、 审 核 方案 的 管理 、 环 境 和 质量 管理 体系 的 实施 以 及 对 环境 
和 质量 管理 体系 评审 员 资格 要 求 提 供 了 指 耳 。 

该 标准 是 ISO/TC 176 与 ISO/ATC 207《〈 环 境 管 理 技术 委员 会 ) 联合 制定 的 ， 按 照 “ 不 同 管 
理 体系 ， 可 以 共同 管理 和 审核 ”的 原则 ， 在 术语 和 内 容 方面 兼容 了 质量 管理 体系 和 环境 管理 体 
系 两 方面 的 特点 。 


3.ISO 9000: 2000 系列 标准 确认 的 8 项 原则 


ISO 9000 系列 质量 管理 体系 在 ISO 9000: 2000 和 ISO 9004: 2000 标准 中 提 及 的 8 项 质量 
管理 原则 是 以 顾客 为 中 心 、 领 导 作 用 、 全 员 参 与 、 过 程 方法 、 管 理 的 系统 方法 、 持 续 改进 、 基 
于 事实 的 决策 方法 、 互 利 的 供 方 关系 。 


6.1.5 ISO/IIEC 15504 过 程 评估 标准 简介 


ISO/AEC 15$$04 由 ISOEC JTCLSC7AWG10 与 其 项 目 组 软件 过 程 改 进 和 能 力 评 定 (Software 
Process Improvement and Capability Determination，SPICE) 和 国际 项 目 管 理 机 构 共 同 完 成 ， 并 
收集 整理 了 来 自 20 多 个 国家 的 工业 、 政 府 以 及 大 学 专家 的 意见 和 建议 ， 同 时 得 到 世界 各 地 软件 
工程 师 的 帮助 ， 包 括 与 美国 SEI、 加 拿 大 贝尔 合作 。 

ISO/TEC 15504 提供 了 一 个 软件 过 程 评 估 的 框 如 ， 它 可 以 被 任何 软件 企业 用 于 软件 的 设计 、 
管理 、 监 督 、 控 制 以 及 提高 获得 、 供 上 应、 开发、 操作、 升级 和 文 持 的 能 力 。ISO/EC 15504 提 
供 了 一 种 有 组 织 的 、 结 构 化 的 软件 过 程 评 估 方 法 ， 以 便 实 施 软件 过 程 的 评估 。 在 ISO/TIEC 15504 
中 定义 的 过 程 评 估 办 法 旨 在 为 描述 工程 评估 结果 的 通用 方法 提供 一 个 基本 原则 ， 同 时 也 对 建立 
在 不 同 但 兼容 的 模型 和 方法 上 的 评估 进行 比较 。 

在 ISO/TIEC 15504 文件 中 涉及 了 过 程 评 估 的 各 个 方面 ， 其 文档 主要 包括 以 下 几 个 部 分 。 

1. 概念 和 绪论 指南 

该 部 分 给 出 了 关于 软件 过 程 改进 和 过 程 评 估 概 念 及 其 在 过 程 能 力 评定 方面 的 总 体 信息 。 它 
描述 了 ISOEC 15504 文档 的 各 部 分 是 如 何 组 织 在 一 起 的 ， 并 为 选择 和 使 用 各 部 分 提供 指南 。 


此 外 ， 本 部 分 还 解释 了 ISOVAEC 15504 中 所 包含 的 要 求 对 执行 评估 的 适用 性 ; 文 持 工具 的 建立 
与 选择 以 及 在 附加 过 程 的 建立 和 发 展 方面 所 起 的 作用 。 


2. 过 程 和 过 程 能 力 参考 模型 


该 部 分 从 内 容 上 说 是 在 比较 高 的 层次 上 详细 定义 了 一 个 用 于 过 程 评估 的 二 维 参考 模型 。 此 
模型 中 描述 了 过 程 和 过 程 能 力 。 通 过 将 过 程 中 的 特点 与 不 同 的 能 力 等 级 相 比较 ， 可 以 用 此 模型 
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中 定义 的 一 系列 过 程 和 框架 对 过 程 能 力 加 以 评估 。 
3. 实施 评估 


为 了 确保 等 级 评定 的 一 致 性 和 可 重复 性 〈 即 标准 化 ) ，ISOWAEC 15504 为 软件 过 程 评 佑 提 
供 了 一 个 框 架 并 为 进行 评审 提出 了 最 低 要 求 。 这 些 要求 有 助 于 确保 评估 输出 内 在 的 一 致 性 ， 并 
为 评级 和 验证 与 要 求 的 一 致 性 提供 了 依据 。 该 部 分 以 及 与 该 部 分 有 关 的 内 容 详 细 定义 了 实施 评 
佑 时 的 需要 ， 这 样 得 到 的 评 佑 结果 才 有 可 重复 性 、 可 信 性 以 及 可 持续 性 。 


4. 评估 实施 指南 


通过 这 部 分 内 容 ， 可 以 指导 使 用 者 如 何 进 行 软 件 过 程 评 估 。 这 个 具有 普 明 意义 的 指导 可 适 
用 于 所 有 企业 ， 同 时 也 适用 于 采用 不 同 的 方法 、 技 术 以 及 文 持 工具 的 过 程 评估 。 它 包括 如 何 选 
择 并 使 用 鳞 容 的 评 个， 如 何 选 择 用 于 文 持 评估 的 方法 ， 如 何 选择 适合 于 评估 的 工具 与 手段 。 该 
部 分 内 容 对 过 程 评 佑 做 了 概述 ， 并 且 以 指南 形式 对 用 于 评估 的 兼容 模型 、 文 件 化 的 评估 过 程 以 
及 工具 的 使 用 和 选择 等 方面 的 需求 做 了 解释 。 


S. 评估 模型 和 标志 指南 


这 部 分 内 容 为 文 持 过 程 评估 提出 了 一 个 评估 模型 的 范例 ， 此 评估 模型 与 第 二 部 分 所 描述 的 
参考 模型 相 兼容 ， 有 具体 表述 了 任何 兼容 评估 模型 都 期 望 具有 的 核心 特征 。 该 指南 是 以 此 评 佑 模 
型 中 所 包含 的 指示 标 坊 的 形 陈 给 出 的 ， 这 些 指示 标志 可 在 过 程 改 进程 序 中 加 以 使 用 ， 还 有 助 于 
评价 和 选择 评估 模型 、 方 法 或 工具 。 采 用 这 种 方式 并 结合 可 靠 的 方法 ， 有 可 能 对 过 程 能 力 做 出 
一 致 的 且 可 重复 的 评估 。 


6. 评估 师 能 力 指南 
这 部 分 提供 了 关于 评 佑 师 进 行 软件 过 程 评估 的 资格 和 准备 的 指南 。 它 详细 说 明了 一 些 可 用 


于 验证 评 佑 师 胜 任 能 力 和 相应 的 教育 、 塔 训 和 经 验 ， 还 包括 可 能 用 于 验证 胜任 能 力 和 证 实 受 教 
育 程度 、 培 训 情况 和 经 验 的 一 些 机 制 。 


7. 过 程 改 进 应 用 指南 
该 部 分 提供 了 关于 使 用 软件 过 程 评估 作为 首要 方法 去 理解 一 个 企业 软件 过 程 的 当前 状态 ， 


以 及 使 用 评 佑 络 果 去 形成 并 优化 改进 方案 方面 的 指南 。 一 个 企业 可 以 根据 它 的 具体 情况 和 需要 
从 参考 模型 中 选择 所 有 的 或 一 部 分 软件 过 程 用 于 评估 或 改进 。 


8. 确定 供 方 能 力 应 用 指南 
该 部 分 内 容 为 过 程 能 力 确 定 目的 而 进行 的 过 程 评 审 提供 应 用 指南 。 它 讲述 了 为 对 过 程 能 力 加 


以 判断 ， 应 如 何 定义 输入 和 如 何 运用 评估 结果 。 该 部 分 中 关于 过 程 能 力 的 判断 方法 不 仅 适 合 于 任 
何 希望 确定 其 自身 软件 过 程 的 过 程 能 力 的 企业 ， 也 同样 适应 于 对 供应 商 的 能 力 进行 判断 。 
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9. 词 六 


本 部 分 定义 了 ISO/VIEC TR 1$504 整个 技术 报告 中 使 用 的 术语 。 术 语 首先 按 字 母 顺 序 排列 以 
便于 参考 ， 然 后 再 按 逻 辑 类 进行 分 类 以 便于 理解 〈 将 相互 相关 的 术语 安排 在 一 类 ) 。 


6.2 ”知识 产权 基础 知识 


知识 产权 《也 称 为 智 意 财产 权 ) 是 现代 社会 发 展 中 不 可 缺少 的 一 种 法 律 制 度 。 知 识 产权 
是 指 人 们 基于 目 己 的 智力 活动 创造 的 成 末 和 经 营 管理 活动 中 的 经 验 、 知 识 而 依法 享有 的 权利 。 
《中 华人 民 共 和 国民 法 典 》 规 定 ， 知 识 产 权 是 指 民 事权 利 主体 (公民 、 法 人 ) 基于 创造 性 的 智 
力 成 果 。 


6.2.1 基本 概念 


根据 有 关 国 际 公 约 规定 〈 世 界 知识 产权 组 织 公约 第 二 条 ) ， 知 识 产 权 的 保护 对 象 包括 下 列 
各 项 有 关 权 利 : 

(1) 文学 、 艺 术 和 科学 作品 。 

(2) 表演 艺术 家 的 表演 以 及 唱片 和 广播 节目 。 

(3) 人 类 一 切 活动 领域 的 发 明 。 

(4) 科学 发 现 。 

05) 工业 品 外 观 设计 。 

66) 商标 、 服 务 标 记 以 及 商业 名 称 和 标志 。 

(7) 制止 不 正当 竞争 。 

(8) 在 工业 、 科 学 、 文 学 艺术 领域 内 由 于 智力 创造 活动 而 产生 的 一 切 其 他 权利 。 

在 世界 贸易 组 织 协议 的 知识 产权 协议 中 ， 第 一 部 分 第 一 条 所 规定 的 知识 产权 范围 ， 还 包括 
“未 披露 过 的 信息 专 有 权 ”， 这 主要 是 指 工商 业经 营 者 所 拥有 的 经 营 秘密 和 技术 秘密 等 商业 秘 
密 。 知 识 产权 保护 制度 是 随 痢 科学 技术 的 进步 而 不 断 发 展 和 完善 的 。 随 看 科学 技术 的 迅速 友 展 ， 
知识 产权 保护 对 象 的 范围 不 断 扩 大 , 不断 涌现 新 型 的 智力 成 果 , 如 计算 机 软件 、 生 物 工程 技术 、 
遗传 基因 技术 和 植物 新 品种 等 ， 这 些 都 是 当今 世界 各 国 所 公认 的 知识 产权 的 保护 对 象 。 知 识 产 
权 可 分 为 工业 产权 和 著作 权 两 类 。 

(1) 工业 产权 。 根 据 《 保 护 工 业 产权 巴黎 公约 》 第 一 条 的 规定 ， 工 业 产 权 包 括 专利 、 实 
用 新 型 、 工 业 品 外 观 设计 、 商 标 、 服 务 标记 、 厂 商 名 称 、 产 地 标记 或 原 产 地 名 称 、 制 止 不 正 
当 竞 争 等 项 内 容 。 此 外 ， 商 业 和 秘密、 微生物 技术 和 遗传 基因 技术 等 也 属于 工业 产权 保护 的 对 
象 。 近 年 来 ， 在 一 些 国家 可 以 通过 申请 专利 对 计算 机 软件 进行 专利 保护 。 对 于 工业 产权 保护 
的 对 象 ， 可 以 分 为 “创造 性 成 果 权 利 ” 和 “识别 性 标记 权利 ”。 发 明 、 实 用 新 型 和 工业 品 外 
观 设计 等 属于 创造 性 成 果 权 利 ， 它 们 都 表现 出 比较 明显 的 智力 创造 性 。 其 中 ， 发 明和 实用 新 
型 是 利用 目 然 规律 做 出 的 解决 特定 问题 的 新 的 技术 方案 ， 工 业 品 外 观 设计 是 确定 工业 品 外 表 
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的 美学 创作 ， 完 成 人 需要 付出 创造 性 劳动 。 商 标 、 服 务 标 记 、 广 商 名 称 、 产 地 标记 或 原 产 地 
名 称 以 及 我 国 反 不 正当 竞争 法 第 $ 条 中 规定 的 知名 商品 所 特有 的 名 称 、 包 装 、 装 漠 等 为 识别 
性 标记 权利 。 

(2) 著作 权 。 著 作 权 《也 称 为 版 权 ) 是 指 作者 对 其 创作 的 作品 享有 的 人 身 权 和 财产 权 。 人 
吴 权 包括 发 表 权 、 署 名 权 、 修 改 权 和 保护 作品 完整 权 ; 财产 权 包 括 作 品 的 使 用 权 和 获得 报酬 权 ， 
即 以 复制 、 表 演 、 播 放 、 展 览 、 发 行 、 摄 制 电影 、 电 视 、 录 像 或 者 改编 、 翻 译 、 注 释 、 纺 辑 等 
方式 使 用 作品 的 权利 ， 以 及 许可 他 人 以 上 述 方式 使 用 作品 并 由 此 获得 报酬 的 权利 。 按 照 《 保 护 
文学 艺术 作品 伯尔尼 公约 》 第 二 条 的 规定 ， 著 作 权 保 护 的 对 象 包括 文学 、 科 学 和 艺术 领域 内 的 
一 切 作 品 ， 不 论 其 表现 形式 或 方式 如 何 ， 诸 如 书籍 、 小 册子 和 其 他 著作 ， 讲 读 、 演 讲 和 其 他 同 
类 性 质 作 品 ， 戏 剧 或 音乐 作品 ， 舞 蹈 艺术 作品 和 哑 剧 作品 ， 配 词 或 未 配 词 的 乐曲 ， 电 影 作品 以 
及 与 使 用 电影 摄影 艺术 类 似 的 方法 表现 的 人 作品， 图画、 油画、 建筑、 雕塑、 雕刻 和 厂 画 ， 摄 影 
作品 以 及 使 用 与 摄影 艺术 类 似 的 方法 表现 的 作品 , 与 地 理 、 地 形 建筑 或 科学 技术 有 关 的 示意 图 、 
地 图 、 设 计 图 、 草 图 和 立体 作品 等 。 

有 些 智力 成 果 可 以 同时 成 为 这 两 类 知识 产权 保护 的 客体 ， 例 如 ， 计 算 机 软件 和 实用 艺术 
品 受 闭 作 权 保护 的 同时 ， 权 利 人 还 可 以 通过 申请 友 明 专利 和 外 观 设 计 专 利 获得 专利 权 ， 成 为 
工业 产权 保护 的 对 象 。 在 美国 和 欧洲 的 一 些 国 家 ， 如 果 计 算 机 软件 目 吴 包含 技术 构成 ， 软 件 
叉 能 实现 茶 方 面 的 技术 效果 ， 如 工业 目 动 化 控制 等 ， 则 不 应 排除 专利 保护 。 按 照 世 界 知识 
权 组 织 公约 ， 科 学 发 现 也 被 列 为 知识 产权 。《 中 华人 民 共 和 国民 法 典 》 规 定 了 科学 发 现 权 的 
法 律 地 位 ， 但 很 难 将 其 归属 于 工业 产权 或 善 作 权 。 可 见 ， 新 产生 的 一 些 知 识 产权 不 一 定 殉 归 
为 这 两 个 类 别 。 


1. 知识 产权 的 特点 


知识 产权 具有 如 下 特点 : 

《1) 无 形 性 。 知 识 产权 是 一 种 无 形 财产 权 。 知 识 产权 的 客体 指 的 是 智力 创作 性 成 采 《〈 也 称 
为 知识 产品 ) ， 是 一 种 没有 形体 的 精神 财富 。 它 是 一 种 可 以 脱离 其 所 有 者 而 存在 的 无 形 信息 ， 
可 以 同时 为 多 个 主体 所 使 用 , 在 一 定 条 件 下 不 会 因 多 个 主体 的 使 用 而 使 该 项 知识 财产 目 肌 遭受 
损耗 或 者 灭失 。 

《2) 双重 性 。 茶 些 知 识 产权 具有 财产 权 和 人 喘 权 双重 性 。 例 如 著作 权 ， 其 财产 权 属 性 主要 
体现 在 所 有 人 享有 的 独占 权 以 及 许可 他 人 使 用 而 获得 报酬 的 权利 ,所 有 人 可 以 通过 独 目 实施 获 
得 收益 ， 也 可 以 通过 有 偿 许可 他 人 实施 获得 收益 ， 还 可 以 像 有 形 财产 那样 进行 买 卖 或 抵押 ;， 其 
人 刁 权 属性 主要 是 指 普 名 权 等 。 有 的 知识 产权 具有 单一 的 属性 。 例 如 ， 发 现 权 只 有 具有 名 党 权 属 
性 ， 而 没有 财产 权 属 性 ;商业 秘密 只 具有 财产 权 属 性 ， 而 没有 人 喘 权 属性 ;专利 权 、 商 标 权 主 
要 体现 为 财产 权 。 

(3) 确认 性 。 无 形 的 智力 创作 性 成 果 不 像 有 形 财产 那样 直观 可 见 ， 因 此 ， 智 力 创 作 性 成 采 
的 财产 权 需 要 依法 审查 确认 ， 以 得 到 法 律 保 护 。 例 如 ， 我 国 的 发 明 人 所 完成 的 及 明 ， 其 实用 新 
型 或 者 外 观 设计 ， 已 经 具有 价值 和 使 用 价值 ， 但 是 ， 其 完成 人 尚 不 能 自动 获得 专利 权 ， 完 成 人 
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必须 依照 专利 法 的 有 关 规 定 ， 向 国家 专利 局 提出 专利 申请 ， 专 利 局 依照 法 定 程 序 进行 审查 ， 申 
请 符合 专利 法 规定 条 件 的 ， 由 专利 局 做 出 授予 专利 权 的 决定 ， 颁 发 专利 证 书 ， 只 有 当 专 利 局 发 
布 授权 公告 后 ， 其 完成 人 才 享 有 该 项 知识 产权 。 又 如 ， 商 标 权 的 获得 ， 大 多 数 国家 (包括 中 国 ) 
都 实行 注册 制 ， 只 有 回国 家 商标 局 提出 注册 申请 ， 经 审查 核准 注册 后 ， 才 能 获得 商标 权 。 文 学 
艺术 作品 以 及 计算 机 软件 的 著作 权 虽 然 是 目 作 品 完成 其 权利 即 自动 产生 ， 但 有 些 国 家 也 要 实行 
登记 或 标注 版 权 标记 后 才能 得 到 你 护 。 

《4) 独占 性 。 由 于 智力 成 果 上 共有 可 以 同时 被 多 个 主体 所 使 用 的 特点 ， 因 此 ， 法 律 授予 知 
识 产 权 一 种 专 有 权 ， 有 具有 独占 性 。 未 经 权利 人 许可 ， 任 何 单位 或 个 人 不 得 使 用 ， 否 则 就 构成 
侵权 ， 应 承担 相应 的 法 律 责 任 。 法 律 对 各 种 知识 产权 都 规定 了 一 定 的 限制 ， 但 这 些 限 制 不 影 
啊 其 独占 性 特征 。 少 数 知 识 产 权 不 具有 独占 性 特征 ， 例 如 技术 秘密 的 所 有 人 不 能 禁止 第 三 人 
使 用 其 独立 开发 完成 的 或 者 合法 取得 的 相同 技术 秘密 ， 可 以 说 ， 商 业 秘密 不 具备 完全 的 财产 
权 属 性 。 

5) 地 域 性 。 知 识 产权 具有 严格 的 地 域 性 特点 ， 即 各 国 主管 机 关 依 照 本 国法 律 授予 的 知识 
产权 ， 只 能 在 其 本 国 领域 内 受 法 律 保护 ， 例 如 中 国 专 利 局 授予 的 专利 权 或 中 国 商 标 局 核准 的 商 
标 专 用 权 ， 只 能 在 中 国 领域 内 受 保 护 ， 其 他 国家 则 不 给 予 保护 ， 外 国人 在 我 国 领域 外 使 用 中 国 
专利 局 授权 的 发 明 专 利 ， 不 侵犯 我 国 专利 权 。 所 以 ， 我 国 公民 、 法 人 完成 的 发 明 创造 要 想 在 外 
国 受 保护 ， 必 须 在 外 国 申 请 专利 。 若 作 权 虽然 目 动产 生 ， 但 它 受 地 域 限 制 ， 我 国法 律 对 外 国人 
的 作品 并 不 都 给 予 保护 ， 只 保护 共同 参加 国际 条 约 国家 的 公民 作品 。 同 样 ， 公 约 的 其 他 成 员 国 
也 按照 公约 规定 ， 对 我 国 公 民 和 法 人 的 作品 给 予 保护 。 还 有 按照 两 国 的 双边 协定 ， 相 互 给 予 对 
方 国民 的 作品 保护 。 

6) 时 间 性 。 知 识 产权 具有 法 定 的 保护 期 限 ， 一 旦 保护 期 限 届满 ， 权 利 将 自行 终止 ， 成 为 
社会 公众 可 以 目 由 使 用 的 知识 。 至 于 期 限 的 长 短 ， 依 各 国 的 法 律 确定 。 例 如 ， 我 国 发 明 专 利 的 
你 护 期 为 20 年 ， 实 用 新 型 专利 权 和 外 观 设计 专利 权 的 期 限 为 10 年 ， 均 目 专利 申请 日 起 计算 。 
我 国 公民 的 作品 发 表 权 的 保护 期 为 作者 终生 及 其 死亡 后 50 年 。 我 国 商 标 权 的 保护 期 限 目 核 准 
注册 之 日 起 10 年 内 有 效 ， 但 可 以 根据 其 所 有 人 的 需要 无 限 地 延长 权利 期 限 ， 在 期 限 届满 前 6 
个 月 内 申请 续 展 注册 ， 每 次 续 展 注册 的 有 效 期 为 10 年 ， 续 展 注册 的 次 数 不 限 。 如 果 商 标 权 人 
造 期 不 办 理 续 展 注册 ， 其 商标 权 也 将 终止 。 商 业 秘 密 受 法 律 保护 的 期 限 是 不 确定 的 ， 该 秘密 一 
旦 被 公众 所 知悉 ， 即 成 为 公众 可 以 自由 使 用 的 知识 。 


2. 中 国 知 识 产权 法 规 


目前 ,我国 己 形成 了 比较 完备 的 知识 产权 保护 的 法 律 体 系 , 保护 知识 产权 的 法 律 主要 有 《中 
华人 民 共 和 国民 法 典 》《 中 华人 民 共 和 国 著 作 权 法 》《 中 华人 民 共 和 国 专利 法 》《 中 华人 民 共 
和 国 公 司法 》《 中 华人 民 共 和 国 商标 法 》《 中 华人 民 共 和 国产 品质 量 法 》《 中 华人 民 共 和 国 反 
不 正当 融 争 法 》《 中 华人 民 共 和 国 刑法 》《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》《 计 
算 机 软件 保护 条 例 》“《 中 华人 民 共 和 国 著 作 权 法 实施 条 例 》 等 。 
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6.2.2 ”计算 机 软件 善 作 权 


1. 计算 机 软件 著作 权 的 主体 与 客体 


1) 计算 机 软件 车 作 权 的 主体 

计算 机 软件 若 作 权 的 主体 是 指 享 有 著作 权 的 人 。 根 据 《 中 华人 民 共 和 国 著 作 权 法 》 和 《 计 
算 机 软件 保护 条 例 》 的 规定 ， 计 算 机 软件 著作 权 的 主体 包括 公民 、 法 人 和 其 他 组 织 。《 中 华人 
民 共 和 国 著作 权 法 》 和 《计算 机 软件 保护 条 例 》 未 规定 对 主体 的 行为 能 力 限 制 ， 同 时 对 外 国人 、 
无 国籍 人 的 主体 资格 ， 奉 行 “ 有 条 件 ” 的 国民 竺 遇 诛 则 。 

1) 公民。 公民 《〈 即 指 目 然 人 ) 通过 以 下 途径 取得 软件 若 作 权 主 体 资格 : 

J 公民 目 行 独立 开发 软件 “软件 开 及 者 ) 。 

色 订立 委托 合同 ， 委 托 他 人 开发 软件 ， 并 约定 软件 著作 权 归 目 己 这 有。 

@) 通过 转让 途径 取得 软件 车 作 财产 权 主 体 资 格 〈 软 件 权利 的 受 让 者 ) 。 

蝎 公民 之 间或 与 其 他 主体 之 间 ， 对 计算 机 软件 进行 合作 开发 而 产生 的 公民 群体 或 者 公民 
与 其 他 主体 成 为 计算 机 软件 作品 的 著作 权 人 。 

@@ 根据 《中 华人 民 共 和 国民 法 典 》 的 规定 ， 通 过 继承 取得 软件 若 作 财产 权 主 体 资 格 。 

(2) 法 人 。 法 人 是 具有 民事 权利 能 力 和 民事 行为 能 力 ， 依 法 独立 这 有 民事 权利 和 承担 义务 
的 组 织 。 计 算 机 软件 的 开发 往往 需要 较 大 投资 和 较 多 的 人 员 ， 法 人 则 具有 资金 来 源 丰 语 和 科技 
人 才 众 多 的 优势 ， 因 而 法 人 是 计算 机 软件 著作 权 的 重要 主体 。 法 人 取得 计算 机 软件 著作 权 主 体 
资格 一 般 通 过 以 下 途径 : 

J 由 法 人 组 织 并 提供 创作 物质 条 件 所 实施 的 开发 ， 并 由 法 人 承担 社会 责任 。 

@ 通过 接受 委托 、 转 让 等 各 种 有 效 合 同 关系 而 取得 著作 权 主 体 资 格 。 

G@) 因 计 算 机 软件 著作 权 主 体 〈 法 人 ) 发 生变 更 而 依法 成 为 著作 权 主 体 。 

3) 其 他 组 织 。 其 他 组 织 是 指 除去 法 人 以 外 的 能 够 取得 计算 机 软件 著作 权 的 其 他 民事 主体 ， 
包括 非法 人 单位 、 合 作 伙伴 等 。 

2) 计算 机 软件 著作权 的 客体 

计算 机 软件 著作 权 的 客体 是 指 著作 权 法 保护 的 计算 机 软件 著作 权 的 范围 ( 受 保护 的 对 象 ) 。 
根据 《中 华人 民 共 和 国 著作 权 法 》 第 三 条 和 《计算 机 软件 保护 条 例 》 第 二 条 的 规定 ， 著 作 权 法 
你 护 的 计算 机 软件 是 指 计算 机 程序 及 其 有 头 文档。 著作权 法 对 计算 机 软件 的 保护 是 指 计 算 机 软 
件 的 著作 权 人 或 者 其 受 让 者 依法 孚 有 著作 权 的 各 项 权利 。 

(1) 计算 机 程序 。 根 据 《 计 算 机 软件 保护 条 例 》 第 三 条 第 一 亚 的 规定 ， 计 算 机 程序 是 指 为 
了 得 到 某 种 结果 而 可 以 由 计算 机 等 具有 信息 处 理 能 力 的 装置 执行 的 代码 化 指令 序列 ， 或 者 可 被 
自动 转换 成 代码 化 指令 序列 的 符号 化 语句 序列 。 计 算 机 程序 包括 源 程序 和 目标 程序 ， 同 一 程序 
的 源 程 序 文本 和 目标 程序 文本 视 为 同一 软件 作品 。 

《2) 计算 机 软件 的 文档 。 根 据 《计算 机 软件 保护 条 例 》 第 三 条 第 二 天 的 规定 ， 计 算 机 程序 
的 文档 是 指 用 目 然 语言 或 者 形式 化 语言 押 编 写 的 文字 资料 和 图 表 , 用 来 描述 程序 的 内 容 、 组 成 、 
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设计 、 功 能 规格 、 开 发 情况 、 测 试 结 条 及 使 用 方法 等 。 文 档 一 般 以 程序 设计 说 明 书 、 流 程 图 和 
用 户 手册 等 表现 。 


2. 计算 机 软件 受 著 作 权 法 保护 的 条 件 


《计算 机 软件 保护 条 例 》 规 定 ， 依 法 受到 保护 的 计算 机 软件 作品 必须 符合 下 列 条 件 : 

(1) 独立 创作 。 受 保护 的 软件 必须 由 开发 者 独立 开发 创作 ， 任 何 复制 或 抄袭 他 人 开发 的 软 
件 不 能 获得 著作 权 。 当 然 ， 软 件 的 独创 性 不 同 于 专利 的 创造 性 。 程 序 的 功能 设计 往往 被 认为 是 
程序 的 思想 概念 ， 根 据 著 作 权 法 不 你 护 思想 概念 的 原则 ， 任 何人 都 可 以 设计 具有 类 似 功能 的 夯 
一 件 软件 作品 。 但 是 , 如 果 用 了 他 人 软件 作品 的 逻辑 步骤 的 组 合 方式 , 则 对 他 人 软件 构成 侵权 。 

《2) 可 被 感知 。 受 著作 权 法 保护 的 作品 应 当 是 作者 创作 思想 在 固定 载体 上 的 一 种 实际 表达 。 
如 果 作 者 的 创作 思想 未 表达 出 来 不 可 以 被 感知 ， 就 不 能 得 到 著作权 法 的 保护 。 因 此 ，《 计 算 机 
软件 保护 条 例 》 规 定 ， 受 保护 的 软件 必须 固定 在 共和 种 有 形 物体 上 ， 例 如 固定 在 存储 器 、 磁 盘 和 
磁带 等 设备 上 ， 也 可 以 是 其 他 的 有 形 物 ， 如 纸张 等 。 

(3) 逻辑 合理 。 赐 辑 判断 功能 是 计算 机 系统 的 基本 功能 。 因 此 ， 受 著作 权 法 保护 的 计算 机 
软件 作品 必须 有 具备 合理 的 逻辑 思 想 , 并 以 正确 的 逻辑 步骤 表现 出 来 , 才能 达到 软件 的 设计 功能 。 

根据 《计算 机 软件 保护 条 例 》 第 六 条 的 规定 ， 除 计算 机 软件 的 程序 和 文档 外 ， 著 作 权 法 不 
保护 计算 机 软件 开发 所 用 的 思想 、 概 念 、 发 现 、 原 理 、 算 法 、 处 理 过 程 和 运算 方法 。 也 就 是 说 ， 
利用 已 有 的 上 述 内 容 开 发 软件 ， 并 不 构成 侵权 。 因 为 开发 软件 时 所 采用 的 思想 、 概 念 等 均 属 计 
算 机 软件 基本 理论 的 范围 ， 是 设计 开发 软件 不 可 或 缺 的 理论 依据 ， 属 于 社会 公有 领域 ， 不 能 被 
个 人 专 有 。 


3. 计算 机 软件 著作 权 的 权利 


《中 华人 民 共 和 国 著 作 权 法 》 规 定 ， 软 件 作 品 训 有 两 类 权利 : 一 类 是 软件 著作权 的 人 吴 权 
《精神 权利 ) ;， 另 一 类 是 软件 著作 权 的 财产 权 《 经 济 权利 ) 。 

1) 计算 机 软件 的 著作 人 喘 权 

《计算 机 软件 保护 条 例 》 规 定 ， 软 件 著作 权 人 享有 发 表 权 和 开发 者 身份 权 ， 这 两 项 权利 与 
软件 若 作 权 人 的 人 喘 权 是 不 可 分 离 的 。 

(1) 发 表 权 。 发 表 权 是 指 决定 软件 作品 是 否 公 之 于 众 的 权利 ， 即 指 软件 作品 完成 后 ， 以 复 
制 、 展 示 、 发 行 或 者 翻译 等 方式 使 软件 作品 在 一 定数 量 不 特定 人 的 范围 内 公开 。 发 表 权 具体 内 
容 包括 软件 作品 发 表 的 时 间 、 发 表 的 形式 以 及 发 表 的 地 点 等 。 

《2) 开发 者 身份 权 《〈 也 称 为 署名 权 ) 。 开 发 者 身份 权 是 指 作者 为 表明 喘 份 在 软件 作品 中 着 
目 己 名 字 的 权利 。 嗜 名 可 有 多 种 形式 ， 既 可 以 普 作 者 的 姓名 ， 也 可 以 著作 者 的 笔名 ， 或 者 作者 
目 愿 不 普 名 。 对 于 一 部 作品 来 说 ， 通 过 署名 即 可 对 作者 的 号 份 给 予 确认 。《 中 华人 民 共 和 国 者 
作 权 法 》 规 定 ， 如 无 相反 证 明 ， 在 作品 上 署名 的 公民 、 法 人 或 非法 人 单位 为 作者 。 因 此 ， 作 品 
的 著名 对 确认 著作 权 的 主体 具有 重要 意义 。 开 发 者 的 身份 权 不 随 软件 开发 者 的 消亡 而 次 失 ， 且 
无 时 间 限 制 。 
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2) 计算 机 软件 的 着 作 财 产权 

著作 权 中 的 财产 权 是 指 能 够 给 著作 权 人 带 来 经 济 利益 的 权利 。 财 产权 通常 是 指 由 软件 著作 
权 人 控制 和 支配 ， 并 能 够 为 权利 人 带 来 一 定 经 济 效益 的 权利 。《 计 算 机 软件 保护 条 例 》 规 定 ， 

”软件 著作 权 人 享有 下 述 软件 财产 权 : 

(1) 使 用 权 。 使 用 权 即 在 不 损害 社会 公共 利益 的 前 提 下 ， 以 复制 、 展 示 、 人 和 修改、 发 行 、 翻 
译 和 注释 等 方式 使 用 其 软件 的 权利 。 

(2) 复制 权 。 复 制 即 将 软件 作品 制作 一 份 或 多 份 的 行为 。 复 制 权 束 是 版 权 所 有 人 决定 实施 
或 不 实施 上 述 复制 行为 或 者 禁止 他 人 复制 其 受 保护 作品 的 权利 。 

(3) 修改 权 。 修 改 即 对 软件 进行 增补 、 删 节 ， 或 者 改变 指令 、 语 名 顺序 等 以 提高 、 完 善 原 
软件 作品 的 做 法 。 修 改 权 即 指 作者 享有 的 修改 或 者 授权 他 人 修改 软件 作品 的 权利 。 

(4) 发 行 权 。 发 行 是 指 为 满足 公众 的 合理 需求 ， 通 过 出 售 、 出 租 等 方式 回 公 众 提供 一 定数 
量 的 作品 复制 件 。 发 行 权 即 以 出 售 或 赠与 方式 同 公 众 提 供 软件 的 原件 或 者 复制 件 的 权利 。 

45) 翻译 权 。 翻 详 是 指 以 不 同 于 忌 软 件 作 品 的 一 种 程序 语言 转换 该 作品 原 使 用 的 程序 语言 ， 
而 重 现 软件 作品 内 容 的 创作 。 简 单 地 说 ， 翻 译 权 也 就 是 指 将 原 软件 从 一 种 程序 语言 转换 成 另 一 
种 程序 语言 的 权利 。 

《6) 注释 权 。 软 件 作 品 的 注 酸 是 指 对 软件 作品 中 的 程序 语句 进行 解释 ， 以 便 更 好 地 理解 软 
件 作 品 。 注 杰 权 是 指 若 作 权 人 对 目 己 的 作品 学 有 进行 注释 的 权利 。 

《7) 信息 网 络 传播 权 。 信 息 网 络 传播 权 是 指 以 有 线 或 者 无 线 信 息 网 络 方式 同 公 众 提供 软件 
作品 ， 使 公众 可 在 其 个 人 选 定 的 时 间 和 地 点 获得 软件 作品 的 权利 。 

《8) 出 租 权 。 出 租 权 即 有 偿 许可 他 人 临时 使 用 计算 机 软件 的 复制 件 的 权利 ， 但 是 软件 不 是 
出 租 的 主要 标的 的 除外 。 

《9) 使 用 许可 权 和 获得 报酬 权 。 使 用 许可 权 和 获得 报酬 权 即 许可 他 人 以 上 述 方式 使 用 软件 
作品 的 权利 《许可 他 人 行使 软件 著作 权 中 的 财产 权 ) 和 依照 约定 或 者 有 关 法 律 规定 获得 报酬 的 
权利 。 

《10) 转让 权 。 转 让 权 即 加 他 人 转让 软件 的 使 用 权 和 使 用 许可 权 的 权利 。 软 件 若 作 权 人 可 
以 全 部 或 者 部 分 转让 软件 著作 权 中 的 财产 权 。 

3) 软件 合法 持 有 人 的 权利 

根据 《计算 机 软件 保护 条 例 》 的 规定 ， 软 件 的 合法 复制 品 所 有 人 孕 有 下 述 权利 : 

(1) 根据 使 用 的 需要 把 软件 装 入 计算 机 等 能 存储 信息 的 装置 内 。 

(2) 根据 需要 进行 必要 的 复制 。 

(3) 为 了 防止 复制 品 损 坏 而 制作 备份 复制 品 。 这 些 复制 品 不 得 通过 任何 方式 提供 给 他 人 使 
用 ， 并 在 所 有 人 丧失 该 合法 复制 品 所 有 权时 ， 负 责 将 备份 复制 品 销毁 。 

《4) 为 了 把 该 软件 用 于 实际 的 计算 机 应 用 环境 或 者 改进 其 功能 性 能 而 进行 必要 的 修改 。 但 
， 除 合同 约定 外 ， 未 经 该 软件 车 作 权 人 许可 ， 不 得 同 任 何 第 三 方 提供 修改 后 的 软件 。 
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4. 计算 机 软件 著作 权 的 行使 


计算 机 软件 著作 权 的 行使 分 为 许可 使 用 和 转让 使 用 。 

1) 软件 经 济 权 利 的 许可 使 用 

软件 经 济 权 利 的 许可 使 用 是 指 软件 著作权 人 或 权利 合法 受 让 者 , 通过 合同 方式 许可 他 人 使 
用 其 软件 ， 并 获得 报酬 的 一 种 软件 贸易 形式 。 许 可 使 用 的 方式 可 分 为 以 下 几 种 : 

(1) 独占 许可 使 用 。 权 利 人 通过 书面 合同 授权 ， 被 授权 方 可 以 根据 合同 规定 的 方式 、 条 件 
和 时 间 确 定 独占 性 ， 权 利 人 不 得 将 软件 使 用 权 授予 第 三 方 ， 权 利 人 自己 不 能 使 用 该 软件 。 

〈2) 独家 许可 使 用 。 权 利 人 通过 书面 合同 授权 ， 被 授权 方 可 以 根据 合同 规定 的 方式 、 条 件 
和 时 间 确 定 独 占 性 ， 权 利 人 不 得 将 软件 使 用 权 授予 第 三 方 ， 权 利 人 上 自己 可 以 使 用 该 软件 。 

(3) 普通 许可 使 用 。 权 利 人 通过 书面 合同 授权 ， 被 授权 方 可 以 根据 合同 规定 的 方式 、 条 件 
和 时 间 确 定 独 折 性， 权利 人 可 以 将 软件 使 用 权 授 予 第 三 方 ， 权 利 人 上 自己 可 以 使 用 该 软件 。 

4) 法定 许可 使 用 和 强制 许可 使 用 。 在 法 律 特 定 的 条 和 亚 下 ， 不 经 软件 著作 权 人 许可 ， 使 用 
其 软件 。 

2) 软件 经 济 权 利 的 转让 使 用 

软件 经 济 权 利 的 转让 使 用 是 指 软件 著作 权 人 将 其 享有 的 软件 著作 权 中 的 经 济 权利 全 部 转 
移 给 他 人 。 软 件 经 济 权利 的 转让 将 改变 软件 权利 的 归属 ， 原 始 若 作 权 人 的 主体 地 位 随 痢 转让 活 
动 的 发 生 而 丧失 ， 软 件 若 作 权 受 让 者 成 为 新 的 著作 权 主 体 。《 计 算 机 软件 保护 条 例 》 规 定 ， 软 
件 者 作 权 转让 必须 签订 书面 合同 。 同 时 ， 软 件 转让 活动 不 能 改变 软件 的 保护 期 。 转 让 方式 包括 
出 天 、 赠 与 、 抵 押 和 赔偿 等 ， 可 以 定期 转让 或 者 永久 转让 。 


S. 计算 机 软件 著作 权 的 保护 期 


根据 《中 华人 民 共 和 国 若 作 权 法 》 和 《计算 机 软件 保护 条 例 》 的 规定 ， 计 算 机 软件 著作 权 
的 权利 自 软 件 开 发 完成 之 日 起 产生 ， 保 护 期 为 50 年 。 保 护 期 满 ， 除 开发 者 身份 权 以 外 ， 其 他 
权利 终止 。 一 旦 计算 机 软件 著作 权 超 出 保护 期 ， 软 件 就 进入 公有 领域。 计算 机 软件 著作权 人 的 
单位 终止 和 计算 机 软件 著作权 人 的 公民 和 死亡 均 无 合法 继承 人 时 ， 除 开发 者 身份 权 以 外 ， 该 软件 
的 其 他 权利 进入 公有 领域。 软件 进入 公有 领域 后 成 为 社会 公共 财富 ， 公 众 可 无 偿 使 用 。 


6. 计算 机 软件 著作 权 的 归属 


《中 华人 民 共 和 国 若 作 权 法 》 对 著作 权 的 归属 采取 了 “创作 主义 ”原则 ， 明 确 规定 著作 权 
属于 作者 ， 除 非 矿 有 规定 。《 计 算 机 软件 保护 条 例 》 第 九条 规定 : “软件 著作 权 属 于 软件 开发 
者 ， 本 条 例 及 有 规定 的 情况 除外 。” 这 是 我 国 计 算 机 软件 著作 权 归 属 的 基本 诛 则 。 

计算 机 软件 开发 者 是 计算 机 软件 著作权 的 原始 主体 ， 也 是 享有 权利 最 完整 的 主体 。 软 件 作 
品 是 开发 者 从 事 智 力 创 作 话 动 押 取得 的 智力 成 打 ， 是 脑力 邦 动 的 结晶 。 其 开发 创作 行为 使 开发 
者 直接 取得 该 计算 机 软件 的 著作 权 。 因 此 , 《计算 机 软件 保护 条 例 》 第 九条 明确 规定 “软件 车 
作 权 属于 软件 开发 者 ”， 即 以 软件 开发 的 事实 来 确定 著作权 的 归属 ， 谁 完成 了 计算 机 软件 的 开 
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发 工作 ， 软 件 的 著作 权 就 归 谁 享有 。 

但 在 实际 执行 时 会 有 一 些 特殊 情况 ， 下 面 分 别 介 绍 。 

1) 职务 开发 软件 著作 权 的 归属 

职务 软件 作品 是 指 公 民 在 单位 任职 期 间 为 执行 本 单位 工作 任务 所 开发 的 计算 机 软件 作品 。 
《计算 机 软件 保护 条 例 》 第 十 三 条 对 此 做 出 了 明确 的 规定 ， 即 公民 在 单位 任职 期 间 所 开发 的 软 
件 ， 如 果 是 执行 本 职工 作 的 结果 ， 即 针对 本 职工 作 中 明确 指定 的 开发 目标 所 开发 的 ， 或 者 是 从 
事 本 职工 作 活 动 所 预见 的 结果 或 目 然 的 结果 ， 则 该 软件 的 著作 权 属 于 该 单位 。 根 据 《 计 算 机 软 
件 保护 和 条例》 规定 ， 可 以 得 出 这 样 的 结论 : 当 公 民 作 为 某 单 位 的 雇员 时 ， 如 其 开发 的 软件 属于 
执行 本 职工 作 的 结果 ,该 软件 著作 权 应 当归 单位 享有 。 知 开 发 的 软件 不 是 执行 本 职工 作 的 结果 ， 
其 著作 权 就 不 属 单位 享有 。 如 果 该 雇员 主要 使 用 了 单位 的 设备 ， 按 照 《 计 算 机 软件 保护 条 例 》 
第 十 三 条 第 三 坎 的 规定 ， 不 能 属于 该 雇员 个 人 享有 。 

对 于 公民 在 非 职 务 期 间 创 作 的 计算 机 程序 ， 其 著作 权 属 于 某 项 软件 作品 的 开发 单位 ， 还 是 
从 事 直 接 创 作 开 发 软件 作品 的 个 人 ， 可 按照 《计算 机 软件 保护 条 例 》 第 十 三 条 规定 的 三 条 标准 
确定 。 有 具体 如 下 : 

(1) 所 开发 的 软件 作品 不 是 执行 其 本 职工 作 的 结果 。 任 何 受 雇 于 一 个 单位 的 人 员 ， 都 会 被 
安排 在 一 定 的 工作 岗位 和 分 派 相 应 的 工作 任务 ， 完 成 分 派 的 工作 任务 就 是 他 的 本 职工 作 。 本 职 
工作 的 直接 成 果 也 就 是 其 工作 任务 的 不 断 完 成 。 当 然 ， 具 体 工 作成 果 又 会 产生 许多 效益 、 产 生 
范围 更 广 的 结果 。 但 是 ， 该 条 标准 指 的 是 雇员 本 职工 作 最 直接 的 成 果 。 阁 雇员 开发 创作 的 软件 
不 是 执行 本 职工 作 的 结果 ， 则 构成 非 职 务 计算 机 软件 著作 权 的 条 件 之 一 。 

(2) 开发 的 软件 作品 与 开发 者 在 单位 中 从 事 的 工作 内 容 无 直接 联系 。 如 果 该 雇员 在 单位 担 
任 软件 开发 工作 ， 引 起 争议 的 软件 作品 不 能 与 其 本 职工 作 中 明确 指定 的 开发 目标 有 关 ， 软 件 作 
品 的 内 容 也 不 能 与 其 本 职工 作 所 开发 的 软件 的 功能 、 还 辑 思 维和 重要 数据 有 关 。 雇 员 所 开发 的 
软件 作品 与 其 本 职工 作 没 有 直接 的 关系 ， 则 构成 非 职 务 计算 机 软件 著作 权 的 第 二 个 条 件 。 

(3) 开发 的 软件 作品 未 使 用 单位 的 物质 技术 条 件 。 开 发 创作 软件 作品 所 使 用 的 物质 技术 条 
件 ， 即 开发 软件 作品 所 必须 的 设备 、 数 据 、 资 金 和 其 他 软件 开发 环境 ， 不 属于 雇员 所 在 的 单位 
上 所有。 没有 使 用 受 雇 单 位 的 任何 物质 技术 条 件 构成 非 职 务 软件 著作 权 的 第 三 个 条 件 。 

雇员 进行 本 职工 作 以 外 的 软件 开发 创作 ， 必 须 同 时 符合 上 述 三 个 条 件 ， 才 能 算是 非 职 务 软 
件 作 品 ， 雇 员 个 人 才 享 有 软件 著作 权 。 常 有 软件 开发 符合 前 两 个 条 件 ， 但 使 用 了 单位 的 技术 情 
报 资料 、 计 算 机 设备 等 物质 技术 条 件 的 情况 。 处 理 此 种 情况 较 好 的 方法 是 对 该 软件 著作 权 的 归 
属 应 当 由 单位 和 雇员 双方 协商 确定 ， 如 对 于 公民 在 非 职 务 期 间 利用 单位 物质 条 件 创 作 的 与 单位 
业务 范围 无 关 的 计算 机 程序 ， 其 著作 权 属 于 创作 程序 的 作者 ， 但 作者 许可 第 三 人 使 用 软件 时 ， 
应 当 文 付 单位 合理 的 物质 条 件 使 用 费 ， 如 计算 机 机 时 费 等 。 若 通过 协商 不 能 解决 ， 按 上 述 三 条 
标准 做 出 界定 。 

2) 合作 开发 软件 著作 权 的 归属 

合作 开发 软件 是 指 两 个 或 两 个 以 上 公民 、 法 人 或 其 他 组 织 订 立 协议 ， 共同 参加 某 项 计算 机 
软件 的 开发 并 分 享 软件 著作 权 的 形式 。《 计 算 机 软件 保护 条 例 》 第 十 条 规定 : “由 两 个 以 上 的 
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自然 人 、 法 人 或 者 其 他 组 织 合作 开发 的 软件 , 其 著作 权 的 归属 由 合作 开发 者 签订 书面 合同 约定 。 
无 书面 合同 或 者 合同 未 作 明确 约定 ， 合 作 开发 的 软件 可 以 分 割 使 用 的 ， 开 发 者 对 各 自 开 发 的 部 
分 可 以 单独 享有 著作 权 ;， 但 是 ， 行 使 著作 权时 ， 不 得 扩展 到 合作 开发 的 软件 整体 的 著作 权 。 合 
作 开 发 的 软件 不 能 分 割 使 用 的 ， 其 著作 权 由 合作 开发 者 共同 享有 ， 通 过 协商 一 致 行使 ， 如 不 能 
协商 一 致 ， 又 无 正当 理由 ， 任 何 一 方 不 得 阻止 他 方 行使 除 转 让 权 以 外 的 其 他 权利 ， 但 是 所 得 收 
益 应 合理 分 配给 所 有 合作 开发 者 。” 根 据 此 规定 ， 对 合作 开发 软件 著作 权 的 归属 应 掌握 以 下 
四 点 : 

《1) 由 两 个 或 两 个 以 上 的 单位 、 公 民 共 同 开 发 完成 的 软件 属于 合作 开发 的 软件 。 对 于 合作 
开发 的 软件 ， 其 著作 权 的 归属 一 般 是 由 各 合作 开发 者 共同 享有 ; 但 如 果 有 软件 若 作 权 的 协议 ， 
则 按照 协议 确定 软件 车 作 权 的 归属 。 

《2) 由 于 合作 开发 软件 著作 权 是 由 两 个 及 以 上 单位 或 者 个 人 共同 享有 ， 因 而 为 了 避免 在 软 
件 若 作 权 的 行使 中 产生 纠纷 ， 规 定 “合作 开发 的 软件 ， 其 著作 权 的 归属 由 合作 开发 者 签订 书面 
合同 约定 ”。 

3) 对 于 合作 开发 的 软件 车 作 权 按 以 下 规定 执行 : “无 书面 合同 或 者 合同 未 作 明确 约定 ， 
合作 开发 的 软件 可 以 分 割 使 用 的 ， 开 发 者 对 各 目 开 发 的 部 分 可 以 单独 享有 著作 权 ; 但 是 ， 行 使 
关 作 权时 ， 不 得 扩展 到 合作 开发 的 软件 整体 的 著作 权 。 合 作 开发 的 软件 不 能 分 割 使 用 的 ， 其 车 
作 权 由 合作 开发 者 共同 部 有， 通过 协商 一 致 行 使 ， 如 不 能 协商 一 致 ， 又 无 正当 理由 ， 任 何 一 方 
不 得 阻止 他 方 行使 除 转 让 权 以 外 的 其 他 权利 ， 但 是 所 得 收益 应 合理 分 配给 所 有 合作 开发 者 。” 

《4) 合作 开发 者 对 于 软件 著作 权 中 的 转让 权 不 得 单独 行使 。 因 为 转让 权 的 行使 将 涉及 软件 
着 作 权 权利 主体 的 改变 ， 所 以 软件 的 合作 开发 者 在 行使 转让 权时 ， 必 须 与 各 合作 开发 者 协商 ， 
在 征 得 同意 的 情况 下 方 能 行使 该 项 专 有 权利 。 

3) 委托 开 及 的 软件 车 作 权 归属 

委托 开发 的 软件 作品 属于 著作 权 法 规定 的 委托 软件 作品 。 委 托 开 发 软件 作品 著作 权 关 系 的 
建立 ， 一 般 由 委托 方 与 受 委托 方 订立 合同 而 成 立 。 委 托 开 发 软件 作品 关系 中 ， 委 托 方 的 责任 主 
要 是 提供 资金 、 设 备 等 物质 条 件 ， 并 不 直接 参与 开发 软件 作品 的 创作 开发 活动 。 受 托 方 的 主要 
责任 是 根据 委托 合同 规定 的 目标 开发 出 符合 条 件 的 软件 。 关 于 委托 开发 软件 闭 作 权 的 归属 ,《 计 
算 机 软件 保护 条 例 》 第 十 一 条 规定 : “接受 他 人 委托 开发 的 软件 ， 其 阁 作 权 的 归属 由 委托 者 己 
受 委 托 痢 签订 书面 合同 约定 ; 无 书面 合同 或 者 合同 未 作 明 确 约 定 的 ,其 著作 权 由 受托 人 理 有 。” 
根据 该 条 的 规定 ， 委 托 开发 的 软件 著作 权 的 归属 按 以 下 标准 确定 : 

(1) 委托 开发 软件 作品 是 根据 委托 方 的 要 求 ， 由 委托 方 与 受托 方 以 合同 确定 的 权利 和 义务 
的 关系 而 进行 开发 的 软件 。 因 此 , 软件 作品 若 作 权 归属 应 当 作为 合同 的 重要 条 玖 子 以 明确 约定 。 
对 于 当事人 已 经 在 合同 中 约定 软件 著作权 归属 关系 的 ， 如 事后 发 生 纠纷 ， 软 件 堵 作 权 的 归属 仍 
应 当 根 据 委 托 开 发 软件 的 合同 来 确定 。 

《2) 奉 在 委托 开发 软件 活动 中 ， 委 托 者 与 受 委托 者 没有 签订 书面 协议 ， 或 者 在 协议 中 
未 对 软件 闭 作 权 归属 作出 明确 的 约定 ， 则 软件 著作 权 属 于 受 委 托 者 ， 即 属于 实际 完成 软件 
的 开 友 者 。 
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4) 接受 任务 开发 的 软件 著作 权 归 属 

根据 社会 经 济 发 展 的 需要 ， 对 于 一 些 涉及 国家 基础 项 目 或 者 重点 设施 的 计算 机 软件 ,往往 
采取 由 政府 有 关 部 门 或 上 级 单位 下 达 任 务 的 方式 ， 完 成 软件 的 开发 工作 。《 计 算 机 软件 保护 条 
例 》 第 十 二 条 对 此 作出 了 明确 的 规定 : “由 国家 机 关 下 达 任 务 开发 的 软件 ， 闭 作 权 的 归属 与 行 
使 由 项 目 任 务 书 或 者 合同 规定 ; 项 目 任 务 书 或 者 合同 中 未 作 明确 规定 的 ， 软 件 著 作 权 由 接受 任 
务 的 法 人 或 者 其 他 组 织 享 有。 ” 

5) 计算 机 软件 著作权 主体 变更 后 软件 著作 权 的 归属 

计算 机 软件 著作 权 的 主体 ， 可 能 因 一 定 的 法 律 事实 而 发 生变 更 ， 如 作为 软件 若 作 权 人 的 公 
氏 的 死亡 ， 单 位 的 变更 ， 软 件 若 作 权 的 转让 以 及 人 民法 院 对 软件 著作 权 的 归属 作出 裁判 等 。 软 
件 若 作 权 主体 的 变更 必然 引起 软件 著作 权 归 属 的 变化 。 对 此 ，《 计 算 机 软件 保护 条 例 》 也 作 了 
一 些 规 定 。 因 计算 机 软件 主体 变更 引起 的 权 属 变化 有 以 下 几 种 : 

(1) 公民 继承 的 软件 权利 归属 。《 计 算 机 软件 保护 条 例 》 第 十 五 条 规定 : “在 软件 若 作 权 
的 保护 期 内 ， 软 件 著作 权 的 继承 者 可 根据 《中 华人 民 共 和 国民 法 典 》 的 有 关 规 定 ， 继 承 本 条 例 
第 八条 项 规定 的 除 闭 名 权 以 外 的 其 他 权利 。” 按 照 该 条 的 规定 ， 软 件 著 作 权 的 合法 继 兴 人 依法 
享有 继承 被 继承 人 享有 的 软件 著作 权 的 使 用 权 、 使 用 许可 权 和 获得 报酬 权 等 权利 。 继 承 权 的 取 
得 、 继 承 顺 序 等 均 按 照 《 中 华人 民 共 和 国民 法 典 》 的 规定 进行 。 

〈2) 单位 变更 后 软件 权利 归属 。《 计 算 机 软件 保护 条 例 》 第 十 五 条 规定 : “软件 关 作 权 属 
于 法 人 或 其 他 组 织 的 ， 法 人 或 其 他 组 织 变 更 、 终 止 后 ， 其 著作权 在 本 条 例 规 定 的 保护 期 内 由 承 
受 其 权利 义务 的 法 人 或 其 他 组 织 享 有 。” 按 照 该 条 的 规定 ， 作 为 软件 著作 权 人 的 单位 发 生变 更 
《如 单位 的 合并 、 破 产 等 ) ， 而 其 享有 的 软件 著作 权 仍 处 在 法 定 的 保护 期 限 内 ， 可 以 由 合法 的 
权利 承受 单位 享有 原始 著作 权 人 所 享有 的 各 项 权利 。 依 法 承受 软件 著作 权 的 单位 ， 成 为 该 软件 
的 后 续 若 作 权 人 ， 可 在 法 定 的 条 件 下 行使 历 承 受 的 各 项 专 有 权利 。 一 般 认 为 ，“ 各 项 权利 ” 包 
括 普 名 权 等 若 作 人 喘 权 在 内 的 全 部 权利 。 

(3) 权利 转让 后 软件 著作 权 归 属 。《 计 算 机 软件 保护 条 例 》 第 二 十 条 规定 : “转让 软件 车 
作 权 的 ， 当 事 人 应 当 订 立 书面 合同 。” 计 算 机 软件 著作 财产 权 按照 该 条 的 规定 发 生 转让 后 ， 必 
然 引 起 著作 权 主 体 的 变化 ,产生 新 的 软件 著作 权 归 属 关 系 。 软 件 权利 的 转让 应 当 根 据 我 国有 关 
法 规 以 签订 、 执 行书 面 合 同 的 方式 进行 。 软 件 权利 的 受 让 者 可 依法 行使 其 享有 的 权利 。 

《4) 司法 判决 、 裁 定 引 起 的 软件 著作 权 归 属 问题 。 计 算 机 软件 著作 权 是 公民 、 法 人 和 其 他 
组 织 导 有 的 一 项 重要 的 民事 权利 。 因 而 在 民事 权利 行使 、 流 转 的 过 程 中 ， 难 免 发 生 涉 及 计算 机 
软件 著作 权 作为 标的 物 的 民事 、 经 济 关 系 ， 也 难免 发 生 争 议和 纠纷 。 和 争议 和 纠纷 发 生 后 由 人 民 
法 院 的 民事 判决 、 裁 定 而 产生 软件 著作 权 主 体 的 变更 ， 引 起 软件 著作 权 归 属 问题 。 因 司法 裁判 
引起 的 软件 著作 权 的 归属 问题 主要 有 四 类 : 第 一 类 是 由 人 民法 院 对 著作 权 归 属 纠纷 中 权利 的 最 
终归 属 作出 司法 裁判 ， 从 而 变更 了 计算 机 软件 著作 权 原 有 归属 ， 第 二 类 是 计算 机 软件 的 著作 权 
人 为 民事 法 律 关 系 中 的 债务 人 《债务 形成 的 原因 可 能 多 种 多 样 ， 如 合同 关系 或 者 损害 赔偿 关系 
等 ) ， 人 民法 院 将 其 软件 著作 财产 权 判 归 债 权 人 享有 抵债 ， 第 三 类 是 人 民法 院 作 出 民事 判决 判 
令 软 件 著作权 人 履行 民事 给 付 义务 ， 在 判决 生效 后 的 执行 程序 中 ， 其 无 其 他 财产 可 供 执行 ， 将 
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软件 著作 财产 权 执 行 给 对 方 折 抵 债务 ， 第 四 类 是 根据 《中 华人 民 共 和 国企 业 破 产 法 》 的 规定 ， 
软件 著作 权 人 被 破产 还 债 ,软件 著作 财产 权 作 为 法 律 规定 的 破产 财产 构成 的 “其 他 财产 权利 ”， 
作为 破产 财产 由 人 民法 院 判 决 分 配 。 

《5) 保护 期 限 届 满 权 利 丧 失 。 软 件 阁 作 权 的 法 定 保护 期 限 可 以 确定 计算 机 软件 的 主体 能 
依法 变更 。 如 果 软 件 著作 权 已 过 保护 期 ， 该 软件 进入 公有 领域 ， 便 丧失 了 专 有 权 ， 也 就 没有 必 
要 改变 权利 主体 了 。 根 据 《计算 机 软件 保护 条 例 》 的 规定 ， 计 算 机 软件 著作 权 主 体 变更 必须 在 
该 软件 著作 权 的 保护 期 限 内 进行 ， 转 让 活动 的 发 生 不 改变 该 软件 著作 权 的 保护 期 。 也 惑 是 说 ， 
转让 活动 也 不 能 延长 该 软件 若 作 权 的 保护 期 限 。 


7. 计算 机 软件 著作 权 侵权 的 鉴别 


侵犯 计算 机 软件 著作 权 的 违法 行为 的 鉴别 ， 主 要 依靠 保护 知识 产权 的 相关 法 律 来 判断 。 违 
反 《 中 华人 民 共 和 国 著 作 权 法 》《 计 算 机 软件 保护 条 例 》 等 法 律 茶 止 的 行为 ， 便 是 侵犯 计算 机 
著作 权 的 违法 行为 ， 这 是 鉴别 违法 行为 的 本 质 原 则 。 对 于 法 律 规定 不 禁止 ， 也 不 违反 相关 法 律 
基本 原则 的 行为 ， 不 认为 是 违法 行为 。 在 法 律 无 明文 具体 条 亚 规 定 的 情况 下 ， 违 衣 《 中 华人 民 
共和 国 著作 权 法 》 和 《计算 机 软件 保护 条 例 》 等 法 律 的 基本 原则 ， 以 及 社会 主义 公共 生活 准则 
和 社会 善良 风俗 的 行为 ， 也 应 该 视 为 违法 行为 。 在 一 般 情 况 下 ， 损 害 他 人 著作 财产 权 或 人 喘 权 
的 行为 ， 总 是 违法 行为 。 

1) 计算 机 软件 著作 权 侵 权 行 为 

根据 《计算 机 软件 保护 条 例 》 第 二 十 三 条 的 规定 ， 凡 是 行为 人 主观 上 有 具有 故意 或 者 过 失 对 
《中 华人 民 共 和 国 著作 权 法 》 和 《计算 机 软件 保护 条 例 》 保 护 的 计算 机 软件 人 喘 权 和 财产 权 实 
施 侵害 行为 的 ， 都 构成 计算 机 软件 的 侵权 行为 。 该 条 规定 的 侵犯 计算 机 软件 著作 权 的 情况 ， 是 
认定 软件 著作 权 侵 权 行 为 的 法 律 依据 。 计 算 机 软件 侵权 行为 主要 有 以 下 几 种 : 

(1) 未 经 软件 著作 权 人 的 同意 而 发 表 或 者 登记 其 软件 作品 。 软 件 若 作 权 人 享有 对 软件 作品 
的 公开 发 表 权 ， 未 经 允许 ， 著 作 权 人 以 外 的 任何 其 他 人 都 无 权 擅 目 发 表 特定 的 软件 作品 。 如 朱 
实施 这 种 行为 ， 就 构成 侵犯 著作 权 人 的 发 表 权 。 

《2) 将 他 人 开发 的 软件 当 作 目 己 的 作品 发 表 或 者 登记 。 此 种 行为 主要 侵犯 了 软件 著作 权 的 
开发 者 吴 份 权 和 署名 权 。 侵 权 行 为 人 其 世 盗 名 ， 虽 家 软 件 开发 者 的 邦 动 成 采 ， 将 他 人 开发 的 软 
件 作品 假冒 为 目 己 的 作品 而 署名 发 表 。 只 要 行为 人 实施 了 这 种 行为 ,不管 其 发 表 该 作品 是 售 经 
过 软件 著作 权 人 的 同意 ， 都 构成 侵权 。 

《3 ) 未 经 合作 者 的 同意 将 与 他 人 合作 开发 的 软件 当 作 目 己 独立 完成 的 作品 发 表 或 者 登记 。 此 
种 侵权 行为 发 生 在 软件 作品 的 合作 开发 者 之 间 。 作 为 合作 开发 的 软件 ， 软 件 作 品 的 开发 者 身份 
为 全 体 开 发 者 ， 软 件 作 品 的 发 表 权 也 应 由 全 体 开 发 者 共同 行使 。 如 果 未 经 其 他 开发 者 同意 ， 又 
将 合作 开发 的 软件 当 作 目 己 的 独创 作品 发 表 ， 即 构成 本 条 规定 的 侵权 行为 。 

《4) 在 他 人 开发 的 软件 上 闭 名 或 者 更 改 他 人 开发 的 软件 上 的 普 名 。 这 种 行为 是 指 在 他 人 开 
发 的 软件 作品 上 添加 自己 的 著名， 或 者 奉 代 软件 开发 者 普 名 ， 以 及 将 软件 作品 上 开发 者 的 署名 
进行 更 改 的 行为 。 这 种 行为 侵犯 了 软件 著作 权 人 的 开发 者 身份 权 及 普 名 权 。 此 种 行为 与 第 〈2) 
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条 规定 行为 的 区 别 主 要 是 对 已 发 表 的 软件 作品 实施 的 行为 。 

《5) 未 经 软件 若 作 权 人 或 者 其 合法 受 让 者 的 许可 ， 修 改 、 翻 译 其 软件 作品 。 此 种 行为 侵犯 
了 著作 权 人 或 其 合法 受 让 者 的 使 用 权 中 的 修改 权 、 翻 译 权 。 对 不 同 版 本 计算 机 软件 ， 新 版 本 往 
往 是 旧版 本 的 提高 和 改善 。 这 种 提高 和 改善 实质 上 是 对 原 软件 作品 的 修改 、 演 绎 。 此 种 行为 应 
征 得 软件 作品 原版 本 著作 权 人 的 同意 ， 否 则 构成 侵权 。 如 果 征 得 软件 作品 著作 人 的 同意 ， 修 改 
和 改善 新 增加 的 部 分 ， 创 作者 应 吝 有 和 著作权。 

《6) 未 经 软件 若 作 权 人 或 其 合法 受 让 者 的 许可 ， 复 制 或 部 分 复制 其 软件 作品 。 此 种 行为 侵 
犯 了 和 涛 作 权 人 或 其 合法 受 让 者 的 使 用 权 中 的 复制 权 。 计 算 机 软件 的 复制 权 是 计算 机 软件 最 重要 
的 若 作 财 产权 ， 也 是 通 音 计算 机 软件 侵权 行为 的 对 象 。 这 是 由 于 软件 载体 价格 相对 低廉 ， 复 制 
软件 简单 易 行 ， 效 率 极 高 ， 而 销售 非法 复制 的 软件 即 可 获得 高 额 利润 。 因 此 ， 复 制 是 常见 的 侵 
权 行 为 ， 是 防止 和 打击 的 主要 对 象 。 当 软件 著作权 经 当事人 的 约定 合法 转让 给 转让 者 以 后 ， 软 
件 开发 者 未 经 允许 不 得 复制 该 软件 ， 否 则 也 构成 本 条 规定 的 侵权 行为 。 

《7) 未 经 软件 若 作 权 人 及 其 合法 受 让 者 同意 ， 回 公众 发 行 、 出 租 其 软件 的 复制 品 。 此 种 行 
为 侵犯 了 著作 权 人 或 其 合法 受 让 者 的 发 行 权 与 出 租 权 。 

《8) 未 经 软件 著作 权 人 或 其 合法 受 让 者 同意 , 回 任 何 第 三 方 办 理 软件 权利 许可 或 转让 事宜 ， 
这 种 行为 侵犯 了 软件 著作 权 人 或 其 合法 受 让 者 的 使 用 许可 权 和 转让 权 。 

《9) 未 经 软件 车 作 权 人 及 其 合法 受 让 者 同意 ， 通 过 信息 网 络 传播 兰 作 权 人 的 软件 。 这 种 行 
为 侵犯 了 软件 著作 权 人 或 其 合法 受 让 者 的 信息 网 络 传播 权 。 

《10) 侵犯 计算 机 软件 著作 权 存 在 者 共同 侵权 行为 。 两 人 以 上 共同 实施 《计算 机 软件 保护 
条 例 》 第 二 十 三 条 和 第 二 十 四 条 规定 的 侵权 行为 , 构成 共同 侵权 行为 。 对 行为 人 并 没有 实施 《 计 
算 机 软件 保护 条 例 》 第 二 十 三 条 和 第 二 十 四 条 规定 的 行为 ， 但 实施 了 辐 侵 权 行 为 人 进行 侵权 活 
动 提供 设备 、 场 所 或 解密 软件 ， 或 者 为 侵权 复制 品 提供 仓储 、 运 输 条 件 等 行为 ， 构 成 共同 侵权 
应 当 在 行为 人 之 间 具 有 共同 故意 或 过 失 行 为 。 其 构成 的 要 件 有 两 个 : 一 是 行为 人 的 过 错 是 共同 
的 ， 而 不 论 行 为 人 的 行为 在 整个 侵权 行为 过 程 中 押 起 的 作用 如 何 ; 二 是 行为 人 主观 上 要 有 故意 
或 过 失 的 过 销 。 如 泉 这 两 个 要 件 具 备 ， 各 个 行为 人 实施 的 侵权 行为 虽然 各 不 相同 ， 也 同样 构成 
共同 侵权 。 两 个 要 件 如 果 缺 乏 一 个 ， 不 构成 共同 的 侵权 ， 或 者 是 不 构成 任何 侵权 。 

2) 不 构成 计算 机 软件 侵权 的 合理 使 用 行为 

我 国 《 计 算 机 软件 保护 条 例 》 第 八条 第 四 项 和 第 十 六 条 规定 , 获得 使 用 权 或 使 用 许可 权 (〈 视 
合同 条 和 亚 ) 后 ， 可 以 对 软件 进行 复制 而 无 须 通 知 若 作 权 人 ， 也 不 构成 侵权 。 对 于 合法 持 有 软件 
复制 品 的 单位 、 公 民 在 不 经 若 作 权 人 同意 的 情况 下 ， 也 吝 有 复制 与 修改 权 。 合 法 持 有 软件 复制 
名 的 单位 、 公 民 ， 在 不 经 软件 车 作 权 人 同意 的 情况 下 ， 可 以 根据 目 己 使 用 的 需要 将 软件 装 入 计 
算 机 ， 为 了 存档 也 可 以 制作 复制 品 ， 为 了 把 软件 用 于 实际 的 计算 机 环境 或 者 改进 其 功能 时 也 可 
以 进行 必要 的 修改 ， 但 是 复制 品 和 修改 后 的 文本 不 能 以 任何 方式 提供 给 他 人 。 超 过 以 上 权利 ， 
印 视 为 侵权 行为 。 区 分 合理 使 用 与 非 合 理 使 用 的 判别 标准 一 般 有 以 下 几 个 : 

(1) 软件 作品 是 否 合法 取得 。 这 是 合理 使 用 的 基础 。 

《2) 使 用 目的 是 非 商业 营利 性 的 。 如 果 使 用 的 目的 是 为 商业 性 营利 ， 就 不 属于 合理 使 用 的 
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泡 围 。 
(3) 合理 使 用 一 般 为 少量 的 使 用 。 所 谓 少 量 的 界限 ， 根 据 其 使 用 的 目的 以 行业 惯例 和 人 们 
的 一 般 常 识 综合 确定 。 超 过 通常 被 认为 的 少量 界限 ， 即 可 被 认为 不 属于 合理 使 用 。 

我 国 《计算 机 软件 保护 条 例 》 第 十 七 条 规定 : “为 了 学 习 和 研究 软件 内 含 的 设计 思想 和 有 原 
理 ， 通 过 安装 、 显 示 、 传 输 或 者 存储 软件 的 方式 使 用 软件 的 ， 可 以 不 经 软件 著作 权 人 许可 ， 不 
加 其 文 付 报酬 。” 

3) 计算 机 软件 著作 权 侵 权 行 为 的 识别 

计算 机 软件 明显 区 别 于 《中 华人 民 共 和 国 闭 作 权 法 》 保 护 的 其 他 客体 ， 它 具有 以 下 特点 : 

《1) 技术 性 。 计 算 机 软件 的 技术 性 是 指 其 创作 开发 的 高 技术 性 。 具 有 一 定 规模 的 软件 的 创 
作 开发 ， 一 般 开 发 难度 大 、 周 期 长 、 投 资 遍 ， 需 要 民 好 组 织 、 严 密 管 理 且 各 方面 人 员 配 合 协作 ， 
借助 现代 化 高 技术 和 高 科技 工具 生产 创作 。 

《2) 依赖 性 。 计 算 机 程序 的 依赖 性 是 指 人 们 对 其 的 感知 依赖 于 计算 机 的 特性 。 若 作 权 保 护 
的 其 他 作品 一 般 都 可 以 依赖 人 的 感觉 吉 官 所 直接 感知 。 但 计算 机 程序 则 不 能 被 人 们 所 直接 感 
知 ， 它 的 内 容 只 能 依赖 计算 机 等 专用 设备 才能 被 充分 表现 出 来 ， 才 能 被 人 们 所 感知 。 

(3) 多样 性 。 计算机 程序 的 多 样 性 是 指 计算 机 程序 表达 的 多 样 性 。 计算机 程序 的 表达 较 《 中 
华人 民 共 和 国 阁 作 权 法 》 保 护 的 其 他 对 象 特殊 ， 其 既 能 以 源 代 码 表 达 ， 还 可 以 以 目标 代码 和 伪 
人 码 等 表达 ， 表 达 形 式 多 样 。 计 算 机 程序 表达 的 存储 媒体 也 多 种 多 样 ， 同 一 种 程序 分 别 可 以 被 存 
储 在 纸张 、 磁 盘 、 磁 带 、 光 盘 和 集成 电路 上 等 。 计 算 机 程序 的 载体 大 多 数 轻巧 灵 便 。 此 外 ， 计 
算 机 程序 的 内 容 与 表达 难以 严格 区 别 界 定 。 

《4) 运行 性 。 计 算 机 程序 的 运行 性 是 指 计算 机 程序 功能 的 运行 性 。 计 算 机 程序 不 同 于 一 般 
的 文字 作品 ， 它 主要 的 功能 在 于 使 用 。 也 就 是 说 ， 计 算 机 程序 的 功能 只 能 通过 对 程序 的 使 用 、 
运行 才能 充分 体现 出 来 。 计 算 机 程序 采用 数字 化 形式 存储 、 转 换 ， 复 制品 与 原作 品 一 般 无 明显 
区 别 。 

根据 计算 机 软件 的 特点 , 对 计算 机 软件 侵权 行为 的 识别 可 以 通过 将 发 生 和 争议 的 茶 一 计算 机 
程序 与 比照 物 《〈 权 利明 确 的 正版 计算 机 程序 ) 进行 对 比 和 鉴别 ， 从 两 个 软件 的 相似 性 或 是 否 完 
全 相同 来 判断 ， 做 出 侵权 认定 。 软 件 作 品 第 党 表现 为 计算 机 程序 的 不 唯一 性 ， 两 个 运行 结果 相 
同 的 计算 机 程序 ， 或 者 两 个 计算 机 软件 的 源 代 码 程序 不 相似 或 不 完全 相似 ， 前 者 不 一 定 构成 侵 
权 ， 而 后 者 不 一 定 不 构成 侵权 。 


8. 计算 机 软件 著作 权 侵 权 的 法 律 责任 


当 侵权 人 侵害 他 人 的 著作 权 、 财 产权 或 著作 人 身 权 ， 造 成 权利 人 财产 上 的 或 非 财产 上 的 损 
失 ， 侵 权 人 不 履行 赔偿 义务 ， 法 律 即 强制 侵权 人 承担 赔偿 损失 的 民事 责任 。 

计算 机 软件 著作权 侵权 的 法 律 责任 包 括 以 下 几 种 。 

1) 民事 责任 

侵犯 计算 机 若 作 权 以 及 有 关 权 益 的 民事 责任 是 指 公 民 、 法 人 或 其 他 组 织 因 侵犯 著作 权 发 生 
的 后 琳 依法 应 承担 的 法 律 责 任 。 我 国 《 计 算 机 软件 保护 条 例 》 第 二 十 三 条 规定 了 侵犯 计算 机 著 
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作 权 的 民事 责任 ， 即 侵犯 著作 权 或 者 与 著作 权 有 关 的 权利 的 ， 侵 权 人 应 当 按 照 权 利 人 的 实际 损 
失 给 予 赔偿 ;实际 损失 难以 计算 的 ， 可 以 按照 侵权 人 的 违法 所 得 给 予 赔偿 。 赔 偿 数额 还 应 当 包 
括 权 利 人 为 制止 侵权 行为 所 文 付 的 合理 开支 。 权 利 人 的 实际 损失 或 者 侵权 人 的 违法 所 得 不 能 
定 的 ， 由 人 民法 院 根据 侵权 行为 的 情节 ， 判 决 给 予 五 十 万 元 以 下 的 赔偿 。 有 下 列 侵 权 行 为 的 ， 
应 当 根 据 情况 承担 停止 侵害 、 消 除 影响 、 公 开 赔 礼 道歉 或 赔偿 损失 等 民事 责任 。 

(1) 未 经 软件 著作 权 人 许可 发 表 或 者 登记 其 软件 的 。 

(2) 将 他 人 软件 当 作 自 己 的 软件 发 表 或 者 登记 的 。 

(3) 未 经 合作 者 许可 , 将 与 他 人 合作 开发 的 软件 当 作 自 己 单独 完成 的 作品 发 表 或 者 登记 的 。 

(4) 在 他 人 软件 上 署名 或 者 涂改 他 人 软件 上 的 署名 的 。 

(5) 未 经 软件 著作 权 人 许可 ， 修 改 、 翻 译 其 软件 的 。 

(6) 其 他 侵犯 软件 著作 权 的 行为 。 

2) 行政 责任 

我 国 《 计 算 机 软件 保护 条 例 》 第 二 十 四 条 规定 了 相应 的 行政 责任 ， 即 对 侵犯 软件 著作 权 行 
为 ， 著 作 权 行 政 管理 部 门 应 当 责令 停止 违法 行为 ， 没 收 非法 所 得 ， 没 收 、 销 毁 侵 权 复 制品 ， 并 
可 处 以 每 件 一 百 元 或 者 货 值 金额 二 至 五 倍 的 罚款 。 有 下 列 侵权 行为 的 ， 应 当 根据 情况 承担 停止 
侵害 、 消 除 影响 、 公 开 赔 礼 道歉 或 赔偿 损失 等 行政 责任 。 

(1) 复制 或 者 部 分 复制 著作 权 人 软件 的 。 

(2) 向 公众 发 行 、 出 租 、 通 过 信息 网 络 传播 著作 权 人 软件 的 。 

(3) 故意 避 开 或 者 破坏 著作 权 人 为 保护 其 软件 而 采取 的 技术 措施 的 。 

(4) 故意 删除 或 者 改变 软件 权利 管理 电子 信息 的 。 

(5) 许可 他 人 行使 或 者 转让 著作 权 人 的 软件 著作 权 的 。 

3) 刑事 责任 

侵权 行为 触犯 刑律 的 ， 侵 权 者 应 当 承 担 刑事 责任 。《 中 华人 民 共 和 国 刑法 》 第 二 百 一 十 七 
条 、 第 二 百 一 十 八条 和 第 二 百 二 十 条 规定 ， 构 成 侵犯 著作 权 罪 、 销 售 侵权 复制 品 罪 的 ， 由 司法 
机 关 追 究 刑事 责任 。 
6.2.3 ”计算 机 软件 的 商业 秘密 权 

关于 商业 秘密 的 法 律 保护 ， 各 国 采 取 不 同 的 法 律 ， 有 的 制定 单行 法 ， 有 的 规定 在 反 不 正当 
竞争 法 中 ， 有 的 适用 一 般 侵权 行为 法 。《 中 华人 民 共 和 国 反 不 正当 竞争 法 》 规 定 了 商业 秘密 的 
保护 问题 。 

1. 商业 秘密 

1) 商业 秘密 的 定义 

《中 华人 民 共 和 国 反 不 正当 竞争 法 》 中 对 商业 秘密 的 定义 为 : “不 为 公众 所 知悉 的 、 能 头 


权利 人 带 来 经 济 利益 、 具 有 实用 性 并 经 权利 人 采取 保密 措施 的 技术 信息 和 经 营 信息 。” 经 营 秘 
密 和 技术 秘密 是 商业 秘密 的 基本 内 容 。 经 营 秘密 ， 即 未 公开 的 经 营 信息 ， 是 指 与 生产 经 营销 售 
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活动 有 关 的 经 营 方法 、 管 理 方法 、 产 销 策略 、 货 源 情报 、 客 户 名 单 、 标 底 和 标书 内 容 等 专 有 知 
识 。 技 术 秘 密 ， 即 未 公开 的 技术 信息 ， 是 指 与 产品 生产 和 制造 有 关 的 技术 诀 宕 、 生 产 方 案 、 工 
艺 流程 、 设 计 图 纸 、 化 学 配方 和 技术 情报 等 专 有 知识 。 

2) 商业 秘密 的 构成 条 件 

商业 秘密 的 构成 条 件 是 : 商业 秘密 必须 具有 未 公开 性 ， 即 不 为 公众 所 知悉 ; 商业 秘密 必须 
具有 实用 性 ， 即 能 为 权利 人 带 来 经 济 效益 ， 商 业 秘密 必须 具有 保密 性 ， 即 采取 了 保密 措施 。 

3) 商业 秘密 权 

商业 秘密 是 一 种 无 形 的 信息 财产 ， 与 有 形 财 产 相 区 别 。 商 业 秘 密 不 占据 空间 ， 不 易 被 权利 
人 所 控制 ， 不 发 生 有 形 损耗 ， 其 权利 是 一 种 无 形 财产 权 。 商 业 秘密 的 权利 人 与 有 形 财产 所 有 权 
人 一 样 ， 依 法 享有 占有 、 使 用 和 收益 的 权利 ， 即 有 权 对 商业 秘密 进行 控制 与 管理 ， 防 止 他 人 采 
取 不 正当 手段 获取 与 使 用 ， 有 权 依 法 使 用 自己 的 商业 秘密 ， 而 不 受 他 人 干涉 ， 有 权 通 过 自己 使 
用 或 者 许可 他 人 使 用 以 至 转让 所 有 权 ， 从 而 取得 相应 的 经 济 利益 ;有 权 处 理 自 己 的 商业 秘密 ， 
包括 放弃 占有 、 无 偿 公 开 、 赠 与 或 转让 等 。 

4) 商业 秘密 的 丧失 

一 项 商业 秘密 受到 法 律 保 护 的 依据 是 必须 具备 上 述 构成 商业 秘密 的 三 个 条 件 , 当 缺 少 上 述 
三 个 条 件 之 一 时 就 会 造成 商业 秘密 丧失 保护 。 


2. 计算 机 软件 与 商业 秘密 


《中 华人 民 共 和 国 反 不 正当 竞争 法 》 保 护 计 算 机 软件 ， 是 以 计算 机 软件 中 是 否 包含 者 “ 商 
业 秘 密 ” 为 必要 条 件 的。 而 计算 机 软件 是 人 类 知识 、 智 慧 、 经 验 和 创造 性 德 动 的 成 果 ， 本 号 职 
具有 商业 秘密 的 特征 ， 即 包含 看 技术 秘密 和 经 营 秘密 。 即 使 是 软件 尚未 开发 完成 ， 在 软件 开发 
中 所 形成 的 知识 内 容 也 可 构成 商业 秘密 。 

1) 计算 机 软件 商业 秘密 的 侵权 

侵犯 商业 秘密 ， 是 指 行为 人 《 负 有 约定 的 保密 义务 的 合同 当事人 ; 实施 侵权 行为 的 第 
三 人 ; 侵犯 本 单位 商业 秘密 的 行为 人 ) 未 经 权利 人 《商业 秘密 的 合法 控制 人 ) 的 许可 ， 以 
非法 手段 (包括 直接 从 权利 人 那里 窃取 商业 秘密 并 加 以 公开 或 使 用 ;, 通过 第 三 人 禄 取 权利 
人 的 商业 秘密 并 加 以 公开 或 使 用 ) 获取 计算 机 软件 商业 秘密 并 加 以 公开 或 使 用 的 行为 。 根 
据 《 中 华人 民 共 和 国 反 不 正当 竞争 法 》 第 十 条 的 规定 ,侵犯 计 算 机 软件 商业 秘密 的 具体 表 
现形 去 主要 如 下 : 


(1) 以 盗 锣 、 利 诱 、 胁 迫 或 其 他 不 正当 手段 获取 权利 人 的 计算 机 软件 商业 秘密 。 盗 饮 商 业 
秘密 ， 包 括 单位 内 部 人 员 资 穷 、 外 部 人 员 盗 穷 、 内 外 勾结 盗 盘 等 手段 ， 以 利诱 手段 获取 商业 秘 
密 ， 通 币 指 行为 人 同 掌 握 商 业 秘密 的 人 员 提供 财物 或 其 他 优惠 条 件 ， 诱 使 其 加 行为 人 提供 商业 
秘密 ， 以 胁迫 手段 获取 商业 秘密 ， 是 指 行为 人 采取 威胁 、 强 迫 手段 ， 使 他 人 在 受 强制 的 情况 下 
提供 商业 秘密 ;以 其 他 不 正当 手段 获取 商业 秘密 。 

〈2) 披露 、 使 用 或 允许 他 人 使 用 以 不 正当 手段 获取 的 计算 机 软件 商业 秘密 。 披 露 是 指 将 权 
利 人 的 商业 秘密 癌 第 三 人 透露 或 向 不 特定 的 其 他 人 公开 ， 使 其 失去 秘密 价值 ， 使 用 或 允许 他 人 
使 用 是 指 非法 使 用 他 人 商业 秘密 的 具体 情形 。 以 非法 手段 获取 商业 秘密 的 行为 人 ， 如 果 将 该 秘 
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密 再 行 披露 或 使 用 ， 即 构成 双重 的 侵权 倘若 第 三 人 从 侵权 人 那里 获悉 了 商业 秘密 而 将 秘密 氢 
露 或 使 用 ， 同 样 构成 侵权 。 

(3) 违反 约定 或 违反 权利 人 有 关 保 守 商 业 秘密 的 要 求 ， 披 露 、 使 用 或 允许 他 人 使 用 其 所 和 掌 
握 的 计算 机 软件 商业 秘密 。 合 法 掌握 计算 机 软件 商业 秘密 的 人 ， 可 能 是 与 权利 人 有 合同 关系 的 
对 方 当事人 ， 也 可 能 是 权利 人 的 单位 工作 人 员 或 其 他 知情 人 ， 他 们 违反 合同 约定 或 单位 规定 的 
保密 义务 ， 将 其 所 掌握 的 商业 秘密 擅自 公开 ， 或 自己 使 用 ， 或 许可 他 人 使 用 ， 即 构成 侵犯 商业 
秘密 。 

(4) 第 三 人 在 明知 或 应 知 前 述 违法 行为 的 情况 下 ， 仍 然 从 侵权 人 那里 获取 、 使 用 或 披露 他 
人 的 计算 机 软件 商业 秘密 。 这 是 一 种 间接 的 侵权 行为 。 

2) 计算 机 软件 商业 秘密 侵权 的 法 律 责任 

根据 《中 华人 民 共 和 国 反 不 正当 竞争 法 》 和 《中 华人 民 共 和 国 刑法 》 的 规定 ， 计 算 机 软件 
丙 业 秘密 的 侵权 者 将 承担 行政 责任 、 氏 事 责 任 以 及 刑事 责任 。 

(1) 侵权 者 的 行政 责任 。《 中 华人 民 共 和 国 反 不 正当 竞争 法 》 第 二 十 五 条 规定 了 相应 的 行 
政 责任 ， 即 对 侵犯 商业 秘密 的 行为 ， 监 督 检查 部 门 应 当 责 令 停 止 违法 行为 ， 而 后 可 以 根据 侵权 
的 情节 依法 处 以 1 万 元 以 上 20 万 元 以 下 的 避 歌 。 

(2) 侵权 者 的 民事 责任 。 计 算 机 软件 商业 秘密 的 侵权 者 的 侵权 行为 对 权利 人 的 经 营造 成 经 
济 上 的 损失 时 , 侵权 者 应 当 承 担 经 济 损害 赔偿 的 民事 责任 。 《中华 人民 共和 国 反 不 正当 芝 争 法 》 
第 二 十 条 规定 了 侵犯 商业 秘密 的 民事 责任 ， 即 经 营 者 违反 该 法 规定 ， 给 被 侵害 的 经 营 者 造成 损 
害 的 ， 应 当 承 担 损害 赔 偿 责 任 。 被 侵害 的 经 营 者 的 合法 权益 受到 损害 的 ， 可 以 同人 民法 院 提 起 
诉讼 

(3) 侵权 者 的 刑事 责任 。 侵 权 者 以 盗窃 、 利 诱 、 胁 人 迫 或 其 他 不 正当 手段 获取 权利 人 的 计算 
机 软件 商业 秘密 ; 披露 、 使 用 或 允许 他 人 使 用 以 不 正当 手段 获取 的 计算 机 软件 商业 秘密 ;违反 
约定 或 违反 权利 人 有 关 保 守 商 业 秘 密 的 要 求 ， 披 露 、 使 用 或 允许 他 人 使 用 其 所 掌握 的 计算 机 软 
件 商 业 秘密 ， 其 侵权 行为 对 权利 人 造成 重大 损害 的 ， 侵 权 者 应 当 承 担 刑事 责任 。《 中 华人 民 共 
和 国 刑法 》 第 二 百 一 十 九条 规定 了 侵犯 商业 秘密 罪 ， 即 实施 侵犯 商业 秘密 行为 ， 给 商业 秘密 的 
权利 人 造成 重大 损失 的 ， 处 3 年 以 下 有 期 徒刑 或 者 拘役 ， 并 处 或 者 单 处 罚金 ; 造成 特别 严重 后 
果 的 ， 处 3 年 以 上 7 年 以 下 有 期 徒刑 ， 并 处 避 金 。 


6.2.4 ”专利 权 概 述 


1. 专利 权 的 保护 对 象 与 特征 


发 明 创造 是 产生 专利 权 的 基础 。 发 明 创造 是 指 发 明 、 实 用 新 型 和 外 观 设计 ， 是 《中 华人 民 
共和 国 专利 法 》 主 要 保护 的 对 象 。《 中 华人 民 共 和 国 专 利 法 实施 细则 》 第 二 条 第 一 秋 规 定 :“ 专 
利 法 所 称 的 发 明 ， 是 指 对 产品 、 方 法 或 者 其 改进 押 提 出 的 技术 方案 。” 实 用 新 型 《也 称 小 发 明 ) 
则 内 国 而 异 ，《 中 华人 民 共 和 国 专利 法 实施 细则 》 第 二 条 第 二 款 规定 : “实用 新 型 是 指 对 产品 
的 形状 、 构 造 或 者 其 组 合 所 提出 的 新 的 技术 方案 。” 外 观 设计 是 指 对 产品 的 形状 、 图 案 、 色 彩 


第 6 章 ， 标 准 化 和 软件 知识 产权 “国明 377 国 


或 者 它们 的 结合 所 做 出 的 富有 美感 的 并 运 于 工业 应 用 的 新 设计 。 

专利 的 发 明 创造 是 无 形 的 智力 创造 性 成 末 ， 不 像 有 形 财产 那样 直观 可 见 ， 必 须 经 专利 主管 
机 关 依 照 法 定 程 序 审查 确定 ， 在 未 经 审批 以 前 ， 任 何 一 项 发 明 创造 都 不 得 成 为 专利 。 

下 列 各 项 属于 《中 华人 民 共 和 国 专 利 法 》 不 适用 的 对 象 ， 因 此 不 授予 专利 权 : 

《1) 违反 国家 法 律 、 社 会 公德 或 者 芒 害 公共 利益 的 发 明 创 造 。 

《2) 科学 发 现 ， 即 人 们 通过 目 己 的 智力 荔 动 对 客观 世界 已 经 存在 的 但 未 揭示 出 来 的 规律 、 
性 质 和 现象 等 的 认识 。 

(3) 智力 活动 的 规则 和 方法 ， 即 人 们 进行 推理 、 人 分析、 判断、 运算、 处理、 记忆 等 思维 活 
动 的 规则 和 方法 。 

《4) 疾病 的 诊断 和 治疗 方法 ， 即 以 活 的 人 或 者 动物 为 实施 对 象 ， 并 以 防 病 治 病 为 目的 ， 是 
医护 人 员 的 经 验 体现 ， 而 且 因 补 诊断 和 治疗 的 对 象 不 同 而 有 区 别 ， 不 能 在 工业 上 应 用 ， 不 具有 
实用 性 。 

《5$) 动物 和 植物 品种 。 但 是 动物 植物 品种 的 生产 方法 ， 可 以 依照 专利 法 规定 授予 专利 权 。 

6) 用 诛 子 核 变换 方法 获得 的 物质 ， 即 用 核 裂 变 或 核 聚变 方法 获得 的 单质 或 化 合 物 。 


2. 授予 专利 权 的 条 件 


授予 专利 权 的 条 件 是 指 一 项 发 明 创造 获 得 专利 权 应 当 上 具备 的 实质 性 条 件 。 一 项 发 明 或 者 实 
用 新 型 获得 专利 权 的 实质 条 件 为 新 性 、 创 造 性 和 实用 性 。 

(1) 新 宙 性 。 新 疆 性 是 指 在 申请 日 以 前 没有 同样 的 发 明 或 实用 新 型 在 国内 外 出 版 物 公 开发 
表 过 ， 在 国内 公开 使 用 过 或 以 其 他 方式 为 公众 所 知 ， 也 没有 同样 的 发 明 或 实用 新型 由 他 人 加 专 
利 局 提出 过 申请 并 且 记 载 在 申请 日 以 后 公布 的 专利 申请 文件 中 。 在 茶 些 特殊 情况 下 ， 尽 管 申请 
专利 的 发 明 或 者 实用 新 型 在 申请 日 或 者 优先 权 日 前 公开 ， 但 在 一 定 的 期 限 内 提出 专利 申请 的 ， 
仍然 具有 新 络 性 。《 中 华人 民 共 和 国 专 利 法 》 规 定 ， 申 请 专利 的 发 明 创造 在 申请 日 以 前 6 个 月 
内 ， 有 下 列 情况 之 一 的 ， 不 丧失 新 额 性 : 

J 在 中 国政 府 主办 或 者 承认 的 国际 展览 会 上 首次 展 出 的 。 

G@ 在 规定 的 学 术 会 议 或 者 技术 会 议 上 首次 发 表 的 。 

G@) 他 人 未 经 申请 人 同意 而 泄露 其 内 容 的 。 

(2) 创造 性 。 创 造 性 是 指 同 申请 日 以 前 已 有 的 技术 相 比 ， 该 发 明 有 突出 的 实质 性 特 扣 和 显 
关 的 进步 ， 该 实用 新 型 有 实质 性 特点 和 进步 。 例 如 ， 申 请 专利 的 发 明 解 决 了 人 们 淘 望 解决 但 一 
直 没 有 解决 的 技术 难题 ， 申 请 专利 的 发 明 死 服 了 技术 偶 见 ， 申 请 专利 的 发 明 取 得 了 意 想 不 到 的 
技术 效果 ;申请 专利 的 发 明 在 商业 上 获得 成 功 。 一 项 发 明 专 利 具 有 创造 性 ， 前 提 是 该 项 发 明 具 
备 新 囊 性 。 

(3) 实用 性 。 实 用 性 是 指 该 发 明 或 者 实用 新 型 能 够 制造 或 者 使 用 ， 并 且 能 够 产生 积极 的 效 
果 ， 即 不 造成 环境 污染 、 能 源 或 者 资源 的 严重 滔 费 ， 损 害 人 体 健 康 。 如 条 申请 专利 的 发 明 或 者 
实用 新 型 缺乏 技术 手段 ， 申 请 专利 的 技术 方案 违背 自然 规律 ， 利用 独一无二 的 目 然 条 件 所 完成 
的 技术 方案 ， 则 不 具有 实用 性 。 
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《中 华人 民 共 和 国 专 利 法 》 规 定 ， 外 观 设计 获得 专利 权 的 实质 条 件 为 新 牢 性 和 美观 性 。 新 
颖 性 是 指 申请 专利 的 外 观 设计 与 其 申请 日 以 前 已 经 在 国内 外 出 版 物 上 公开 发 表 的 外 观 设计 不 
相同 或 者 不 相近 似 ; 与 其 申请 日 前 已 在 国内 公开 使 用 过 的 外 观 设计 不 相同 或 者 不 相近 似 。 美 观 
性 是 指 外 观 设 计 被 使 用 在 产品 上 时 能 使 人 产生 一 种 美感 ， 增 加 产品 对 消费 者 的 吸引 力 。 


3. 专利 的 申请 


1) 专利 申请 权 

专利 申请 权 是 指 公民 、 法 人 或 者 其 他 组 织 依据 法 律 规定 或 者 合同 约定 享有 的 驶 发 明 创造 内 
专利 局 提出 专利 申请 的 权利 。 一 项 发 明 创造 产生 的 专利 申请 权 归 谁 所 有 ， 主 要 有 由 法 律 直接 规 
定 的 情况 和 依 合同 约定 的 情况 。 专 利 申请 权 可 以 转让 ， 不 论 专利 申请 权 在 哪 一 个 时 间 段 转让 ， 
原 专 利 申请 人 便 因 此 丧失 专利 申请 权 ， 由 受 让 人 获得 相应 的 专利 申请 权 。 专 利 申请 权 可 以 被 继 
承 或 赠与 。 专 利 申 请 人 死亡 后 ， 其 依法 吝 有 的 专利 申请 权 可 以 作为 遗产 , 由 其 合法 继 涉 人 继承 。 

2) 专利 申请 人 

专利 申请 人 是 指 对 茶 项 发 明 创 造 依法 律 规定 或 者 合同 约定 享有 专利 申请 权 的 公民 、 法 人 或 
者 其 他 组 织 。 专 利 申请 人 包括 职务 发 明 创造 的 单位 及 专利 申请 权 的 受 让 人 ;， 非 职 务 发 明 创造 的 
专利 申请 人 为 完成 发 明 创造 的 发 明 人 或 者 设计 人 ; 共同 发 明 创造 的 专利 申请 人 是 共同 发 明 人 或 
者 设计 人 ， 或 者 其 所 属 单位 ;委托 发 明 创造 的 专利 申请 人 为 合同 约定 的 人 。 

3) 专利 申请 的 忌 则 

专利 申请 人 及 其 代理 人 在 办 理 各 种 手续 时 都 应 当 采 用 书面 形式 。 一 份 专利 申请 文件 只 能 就 
一 项 发 明 创造 提出 专利 申请 ， 即 “一 份 申请 一 项 及 明 ”原则 。 两 个 或 者 两 个 以 上 的 人 分 别 吏 同 
样 的 发 明 创造 申请 专利 的 ， 专 利 权 授 给 最 先 申 请 人 。 

4) 专利 申请 文件 

发 明 或 者 实用 新 型 申请 文件 包括 请 求 书 、 说 明 书 、 说 明 书 摘要 和 权利 要 求 书 。 外 观 设计 专 
利 申请 文件 包括 请 求 书 、 图 片 或 照片 。 

5) 专利 申请 日 

专利 申请 日 《也 称 关 键 日 ) 是 专利 局 或 者 专利 局 指定 的 专利 申请 受理 代办 处 收 到 完整 专利 
申请 文件 的 日 期 。 如 宋 申 请 文件 是 邮寄 的 ， 以 寄 出 的 邮 恰 日 为 申请 日 。 

6) 专利 申请 的 审批 

专利 局 收 到 发 明 专 利 申请 后 , 一 个 必要 程序 是 初步 审查 , 经 初步 审查 认为 符合 本 法 要 求 的 ， 
和 目 申请 日 起 满 18 个 月 ， 即 行 公布 “公布 申请 ) ， 专 利 局 可 根据 申请 人 的 请 求 ， 早 日 公布 其 申 
请 。 目 申请 日 起 三 年 内 ， 专 利 局 可 以 根据 申请 人 随时 提出 的 请 求 ， 对 其 申请 进行 实质 审查 。 实 
质 审查 是 专利 局 对 申请 专利 的 发 明 的 新 颖 性 、 创 造 性 和 实用 性 等 依法 进行 审查 的 法 定 程 序 。 

《中 华人 民 共 和 国 专 利 法 》 规 定 :“ 实 用 新 型 和 外 观 设计 专利 申请 经 初步 审查 没有 发 现 驳 回 
理由 的 ， 专 利 局 应 当做 出 授予 实用 新 型 专利 权 或 者 外 观 设计 专利 权 的 决定 ， 发 给 相应 的 专利 证 
书 ， 并 了 予 以 登记 和 公布 。” 由 此 规定 可 知 ， 对 实用 新 型 和 外 观 设计 专利 申请 只 进行 初步 审查 ， 
不 进行 实质 审查 。 
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7) 申请 权 的 立 失 与 恢复 

《中 华人 民 共 和 国 专利 法 》 及 《中 华人 民 共 和 国 专利 法 实施 细则 》 有 许多 条 款 规 定 ， 如 果 
申请 人 在 法 定期 间或 者 专利 局 所 指定 的 期 限 内 未 办 理 相 应 的 手续 或 者 没有 提交 有 关 文 件 ， 其 申 
请 就 被 视 为 撤回 或 者 丧失 提出 茶 项 请 求 的 权利 ， 或 者 导致 有 关 权 利 终止 后 果 。 因 耽误 期 限 而 形 
失 权利 之 后 ， 可 以 在 上 自 障 碍 消除 后 两 个 月 内 ， 最 迟 目 法 定期 限 或 者 指定 期 限 届满 后 两 年 内 或 者 
目 收 到 专利 局 通知 之 日 起 两 个 月 内 ， 请 求 恢复 其 权利 。 


4. 专利 权 行 使 


1) 专利 权 的 归属 

根据 《中 华人 民 共 和 国 专利 法 》 的 规定 ， 执 行 本 单位 的 任务 或 者 主要 是 利用 本 单位 的 物质 
条 件 所 完成 的 职务 发 明 创造 ， 申 请 专利 的 权利 属于 该 单位 。 申 请 被 批准 后 ， 专 利 权 归 该 单位 持 
有 【单位 为 专利 权 人 ) 。 执 行 本 单位 的 任务 所 完成 的 职务 发 明 创造 是 指 : 

(1) 在 本 职工 作 中 做 出 的 发 明 创造 。 

《2) 履行 本 单位 交付 的 本 职工 作 之 外 的 任务 所 做 出 的 发 明 创造 。 

43) 工作 变动 《退职 、 退 体 或 者 调 离 ) 后 短期 内 做 出 的 ， 与 其 在 原单 位 承担 的 本 职工 作 或 
者 原单 位 分 配 的 任务 有 关 的 发 明 创造 。 

本 单位 的 物质 技术 条 件 包 括 本 单位 的 资金 、 设 备 、 零 部 件 、 原 材料 或 者 不 对 外 公开 的 技术 
资料 等 。 

非 职 务 发 明 创 造 ， 申 请 专利 的 权利 属于 发 明 人 或 者 设计 人 ;， 在 中 国境 内 的 外 资 企 业 和 中 外 
合资 经 营 企业 的 工作 人 员 完 成 的 职务 发 明 创造 ， 申 请 专利 的 权利 属于 该 企业 ， 申 请 被 批准 后 ， 
专利 权 归 申请 的 企业 或 者 个 人 所 有 ;， 两 个 以 上 单位 协作 或 者 一 个 单位 接受 其 他 单位 委托 的 研 
究 、 设 计 任务 所 完成 的 发 明 创 造 ， 除 妨 有 协议 的 以 外 ， 申 请 专利 的 权利 属于 完成 或 者 共同 完成 
的 单位 ， 申 请 被 批准 后 ， 专 利 权 归 申请 的 单位 所 有 或 者 持 有 。 

2) 专利 权 人 的 权利 

专利 权 是 一 种 具有 财产 权 属 性 的 独占 权 以 及 由 其 衍生 出 来 的 相应 处 理 权 。 专 利 权 人 的 权利 
包括 独 后 实施 权 、 转 让 权 、 实 施 许可 权 、 放 弃权 和 标记 权 等 。 专 利 权 人 有 缴纳 专利 年 费 〈 也 称 
专利 维持 费 ) 和 实际 实施 已 获 专利 的 发 明 创造 两 项 基本 义务 。 

专利 权 人 通过 专利 实施 许可 合同 将 其 依法 取得 的 对 某 项 发 明 创 造 的 实施 权 转 移 给 非 专 利 
权 人 行使 。 任 何 单位 或 者 个 人 实施 他 人 专利 的 ， 除 《中 华人 民 共 和 国 专 利 法 》 第 十 四 条 规定 的 
以 外 ， 都 必须 与 专利 权 人 订立 书面 实施 许可 合同 ， 同 专利 权 人 文 付 专利 使 用 费 。 被 许可 人 无 权 
允许 合同 规定 以 外 的 任何 单位 或 者 个 人 实施 该 专利 。 专 利 实施 许可 的 种 类 包括 独占 许可 、 独 家 
许可 、 普 通 许可 和 部 分 许可 。 


S. 专利 权 的 限制 


根据 《中 华人 民 共 和 国 专利 法 》 的 规定 ， 发 明 专 利 权 的 保护 期 限 为 自 申请 日 起 20 年 ， 实 
用 新 型 专利 权 和 外 观 设计 专利 权 的 保护 期 限 为 目 申请 日 起 10 年 。 发 明 创造 专利 权 的 法 律 效力 
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所 及 的 范围 如 下 : 
(1) 发 明 或 者 实用 新 型 专利 权 的 保护 范围 以 其 权利 要 求 的 内 容 为 准 ， 说 明 书 及 附 图 可 以 用 
于 解释 权利 要 求 。 


(2) 外 观 设计 专利 权 的 保护 范围 以 表示 在 图 片 或 者 照片 中 的 该 外 观 设计 专利 产品 为 准 。 

公告 授予 专利 权 后 , 任何 单位 或 个 人 认为 该 专利 权 的 授予 不 符合 《中华 人民 共和 国 专利 法 》 
规定 条 件 的 ， 可 以 向 专利 复审 委员 会 提出 宣告 该 专利 权 无 效 的 请 求 。 专 利 复审 委员 会 对 这 种 请 
求 进行 审查 ， 做 出 宣告 专利 权 无 效 或 维持 专利 权 的 决定 。《 中 华人 民 共 和 国 专 利 法 》 规 定 ， 提 
出 无 效 宣 告 请 求 的 时 间 (启动 无 效 宣 告 程序 的 时 间 ) 始 于 “ 自 专 利 局 公告 授予 专利 权 之 日 起 ”。 

专利 权 因 某 种 法 律 事实 的 发 生 而 导致 其 效力 消灭 的 情形 称 为 专利 权 终止 。 导 致 专利 权 终 止 
的 法 律 事实 如 下 : 

(1) 保护 期 限 届满 。 

(2) 在 专利 权 保护 期 限 届满 前 ， 专 利 权 人 以 书面 形式 向 专利 局 声明 放弃 专利 权 。 

(3) 在 专利 权 的 保护 期 限 内 ， 专 利 权 人 没有 按照 法 律 的 规定 交 年 费 。 专 利 权 终止 日 应 为 上 
一 年 度 期 满 日 。 

专利 权 的 限制 ， 是 指 《 中 华人 民 共 和 国 专利 法 》 人 允许 第 三 人 在 某 些 特殊 情况 下 ， 可 以 不 经 
专利 权 人 许可 而 实施 其 专利 ， 且 其 实施 行为 并 不 构成 侵权 的 一 种 法 律 制度 。 专 利 权 限制 的 种 类 
包括 强制 许可 、 不 视 为 侵犯 专利 权 的 行为 和 国家 计划 许可 。 


6. 专利 侵权 行为 


专利 侵权 行为 是 指 在 专利 权 的 有 效 期 限 内 ， 任 何 单 位 或 者 个 人 在 未 经 专利 权 人 许可 ， 也 没 
有 其 他 法 定 事 由 的 情况 下 ， 擅 自 以 营 利 为 目的 实施 专利 的 行为 。 专 利 侵权 行为 主要 包括 以 下 
方面 : 

(1) 为 生产 经 营 目的 制造 、 使 用 、 销 售 其 专利 产品 ， 或 者 使 用 其 专利 方法 以 及 使 用 、 销 售 
依照 该 专利 方法 直接 获得 的 产品 。 

(2) 为 生产 经 营 目的 制造 、 销 售 其 外 观 设 计 专 利 产品 。 

(3) 进口 依照 其 专利 方法 直接 获得 的 产品 。 

(4) 产品 的 包装 上 标明 其 专利 标记 和 专利 号 。 

(5) 用 非 专利 产品 冒充 专利 产品 的 或 者 用 非 专利 方法 冒充 专利 方法 等 。 

对 未 经 专利 权 人 许可 ， 实 施 其 专利 的 侵权 行为 ， 专 利 权 人 或 者 利害 关系 人 可 以 请 求 专利 管 
理 机 关 处 理 。 在 专利 侵权 纠纷 发 生 后 , 专利 权 人 或 者 利害 关系 人 既 可 以 请 求 专利 管理 机 关 处 理 ， 
又 可 以 请 求人 民法 院 审 理 。 侵 犯 专利 权 的 诉讼 时 效 为 两 年 ， 自 专利 权 人 或 者 利害 关系 人 知道 或 
者 应 当知 道 侵 权 行 为 之 日 起 计算 。 如 果 诉 讼 时 效 期 限 届 满 ， 专 利 权 人 或 者 利害 关系 人 不 能 再 请 
求人 民法 院 保护 ， 同 时 也 不 能 再 癌 专 利 管理 机 关 请 求 保 护 。 


6.2.5 ”企业 知识 产权 的 保护 
高 新 技术 企业 大 多 是 以 知识 创新 开发 产品 ， 当 知识 产品 进入 市 场 后 ， 则 完全 依赖 于 对 其 知 
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识 产 权 的 保护 。 知 识 产权 是 一 种 无 形 的 产权 ， 是 企业 的 重要 财富 ， 应 当 把 保护 软件 知识 产权 作 
为 现代 企业 制度 的 一 项 基本 内 容 。 


1. 知识 产权 的 保护 和 利用 


目前 ， 计 算 机 技术 和 软件 技术 的 知识 产权 法 律 保 护 已 形成 以 《中 华人 民 共 和 国 著作 权 法 》 
保护 为 主 《 中 华人 民 共 和 国 著作 权 法 》( 包 括 《 计 算 机 软件 保护 条 例 》) 和 《中 华人 民 共 和 国 
专利 法 》《 中 华人 民 共 和 国 商标 法 》《 中 华人 民 共 和 国 反 不 正当 营 争 法 》《 中 华人 民 共 和 国 合 
同 法》 实施 交 叉 和 重 登 保护 为 辅 的 趋势 。 例 如 ， 源 程序 及 设计 文档 作为 软件 的 表现 形式 用 《中 
华人 民 共 和 国 著 作 权 法 》 保 护 ， 同 时 作为 技术 秘密 又 受 《 中 华人 民 共 和 国 反 不 正当 竞争 法 》 的 
保护 。 由 于 软件 具有 技术 含量 高 的 特点 ， 使 得 对 软件 法 律 保护 成 为 一 种 综合 性 的 保护 ， 对 于 企 
业 来 说 ， 仅 依 重 茶 项 法 律 或 法 规 不 能 解决 软件 的 所 有 知识 产权 问题 。 应 在 保护 企业 计算 机 软件 
成 果 知 识 产 权 方 面 实施 综 合 性 的 保护 ， 例 如 ， 在 新 技术 的 开发 中 重视 技术 秘密 的 管理 ， 也 应 重 
视 专利 权 的 取得 ， 而 在 命名 新 产品 名 称 时 ， 也 应 重视 商标 权 的 取得 ， 以 保护 企业 的 知识 产权 。 
企业 保护 软件 成 果 知 识 产权 的 一 般 途 径 如 下 : 

《1) 明确 软件 知识 产权 归属 。 明 确 知 识 产权 是 归 企业 还 是 制作 、 设 计 、 开 发 人 员 所 有 ， 避 
免 企业 内 部 产生 权 属 纠纷 。 

(2) 及 时 对 软件 技术 秘密 采取 保密 措施 。 对 企业 的 软件 产品 或 成 果 中 的 技术 秘密 ， 应 当 及 
时 采取 保密 措施 ， 以 便 把 握 市 场 优势 。 一 旦 发 生 企 业 “ 技 术 秘密 ”被 泄露 的 情况 ， 则 便于 认定 
为 技术 秘密 ， 依 法 仍 究 泄密 行为 人 的 法 律 责 任 ， 保 护 企 业 的 权益 。 

43) 依靠 专利 保护 新 技术 和 新 产 品 。 我 国 采用 的 是 先 申 请 原则 ， 如 果 有 相同 技术 内 容 的 专 
利 申请 ， 只 有 最 先 提 出 专利 申请 的 企业 或 者 个 人 才能 获得 专利 权 。 企 业 的 软件 技术 或 者 产品 构 
成 专利 法 律 要 件 的， 应 当 尽 早 办 理 申请 专利 权 登 记事 宜 ， 不 能 因 企业 目 身 的 延误 ， 造 成 企业 软 
件 成 汞 新 络 性 的 失 ， 从 而 失去 申请 专利 的 时 机 。 

《4) 软件 产品 进入 市 场 乙 前 的 商标 权 和 商业 秘密 保护 。 企 业 的 软件 产品 已 经 冠 以 商品 专用 
标识 或 者 服务 标识 ， 要 尽快 完成 商标 或 者 服务 标识 的 登记 注册 ， 保 护 软 件 产 品 的 商标 专用 权 。 

5) 软件 产品 进入 市 场 乙 前 进行 申请 软件 著作 权 登 记 。 申 请 软件 著作 权 登 记 以 起 到 公示 的 
作用 。 软 件 著作 权 登 记 只 要 求 软件 的 独创 性 ， 并 不 以 软件 的 技术 水 平 作为 著作 权 是 否 有 效 的 条 
件 ， 不 能 等 到 软件 达到 采种 技术 水 平 后 再 进行 登记 ， 寿 其 他 企业 或 者 个 人 抢先 登记 ， 则 不 利于 
企业 权益 的 保护 。 


2. 建立 经 济 约束 机 制 ， 规 范 调 整 各 种 关系 


软件 企业 需要 按照 经 济 合同 规范 各 种 经 济 活动 ， 明 确 权 利 与 义务 的 关系 。 建 立 企业 内 部 以 
及 企业 与 外 部 的 各 种 经 济 约束 机 制 。 从 目前 存在 的 比较 突出 的 问题 来 看 ， 软 件 企 业 应 建立 以 下 
各 项 合同 规范 ; 

(1) 劳动 关系 合同 。 软 件 企业 与 企业 职工 、 外 聘 人 员 之 间 应 建立 合法 的 劳动 关系 ， 以 及 应 
该 就 企业 的 商业 秘密 〈 技 术 秘密 和 经 营 秘密 ) 的 保密 事宜 进行 约定 ， 建 立 劳动 利益 关系 合同 以 
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及 保守 企业 商业 秘密 的 协议 。 一 些 目前 不 宜 马 上 实行 劳动 合同 的 单位 ， 也 通过 建立 或 者 健全 本 
单位 的 有 关 规 章 制 度 的 方式 进行 过 小 ， 以 或 励 企 业 员工 的 创造 性 荔 动 ， 明 确 企业 开发 过 程 中 产 
生 的 软件 技术 成 宁 归 属 关 系 ， 以 预防 企业 技术 人 员 流 动 时 造成 的 技术 流失 和 技术 泄密 等 问题 。 

(2) 软件 开发 合同 。 软 件 企 业 与 外 单位 合作 开发 、 委 托 外 单位 开发 软件 时 ， 应 建立 软件 权 
利 归属 关系 等 事宜 的 协议 ， 可 按照 有 关 规 定 签订 软件 开发 合同 ， 约 定 软件 开发 各 方面 尚未 开发 
的 软件 享有 的 权利 与 义务 的 关系 ， 以 及 软件 技术 成 果 开 发 完成 后 的 权利 归属 关系 和 经 济 利益 天 
系 等 。 如 案 软 件 开发 方 在 合作 中 发 现 了 合同 的 缺陷 ， 应 及 早 对 合同 进行 补充 和 完善 。 

(3) 软件 许可 使 用 《或 者 转让 ) 合同 。 软 件 企业 在 经 营 本 企业 的 软件 产品 时 , 应 当 建 立 “ 许 
可 证 ”或 是 转让 合同 ) 制度 ， 用 软件 许可 合同 〈 授 权 书 ) 或 者 转让 合同 的 方式 来 明确 规定 软 
件 使 用 权 的 许可 《转让 ) 方式 、 条 件 、 范 围 和 时 间 等 事宜 ， 避 免 因 合 同 条 款 的 约定 不 清楚 、 不 
明确 而 导致 当事人 之 间 发 生 扯 皮 等 不 入 快 的 事情 ， 或 者 因 合同 条 秋 无 法 界定 而 引发 的 软件 侵权 

纠纷 。 


第 7 章 网络 系 统 分 析 与 设计 国生 
案例 


网 络 规划 设计 师 要 求 考生 深入 掌握 网 络 系统 所 涉及 的 各 种 理论 、 技 术 ， 来 进行 网 络 系统 方 
案 的 分 析 与 设计 。 本 章 介 绍 了 案例 分 析 与 设计 的 解答 技巧 及 相关 案例 分 析 。 


7.1 案例 分 析 要 求 与 解答 技巧 


1. 案例 分 析 试 题 的 要 求 


案例 是 指 在 网 络 工程 实践 中 某 个 真实 记录 或 者 客观 的 描述 ,通常 是 指 在 具体 环境 中 的 典型 
网 络 系统 实践 。 案 例 是 对 已 经 完成 的 项 目 工作 过 程 的 反映 ， 是 一 个 客观 结果 。 案 例 分 析 一 般 包 
含 面 对 的 问题 及 对 解决 方案 的 分 析 与 评价 。 案 例 的 问题 一 般 从 具有 局 发 性 的 角度 切入 ， 通 过 对 
原始 材料 进行 筛选 ， 考 查 的 是 关键 性 的 细节 内 容 。 解 决 方案 的 分 析 与 评价 从 网 络 系统 的 立项 规 
划 、 实 施 过 程 、 结 果 或 者 效益 方面 对 问题 进行 分 析 ， 不 是 网 络 相 关 知 识 的 岁 列 ， 更 多 的 是 融 事 
论 事 ， 是 对 具体 事项 的 灵活 运用 能 力 的 考 得 。 

案例 分 析 试 题 主 要 考 香 考生 三 个 方面 的 能 

(1) 考生 是 否 具 有 见 练 运用 网 络 系统 理论 的 能 

案例 是 沟通 理论 与 实践 的 桥梁 ， 通 过 具体 的 例子 把 理论 与 工作 实践 紧密 地 结合 起 来 ， 借 助 
分 析 、 曾 述 来 说 明 实 践 的 合理 性 与 可 行 性 。 例 如 ， 对 于 网 络 系统 规划 中 ， 局 域 网 络 的 结构 可 以 
是 三 层 也 可 以 是 两 层 。 但 在 具体 的 网 络 系统 实践 中 ， 束 要 从 网 络 系统 的 规模 、 网 络 系统 建设 的 
投入 、 网 络 系统 设备 选 型 等 多 个 方面 综合 着 虑 ， 从 多 个 方案 中 进行 优选 。 

《2) 考生 是 否 具有 丰富 的 实践 经 验 。 

网 络 规划 设计 师 应 具有 对 以 往 工 作 实践 进行 反思 和 总 结 的 能 力 ， 能 清楚 地 认识 到 哪些 做 法 
在 网 络 系统 建设 中 取得 了 成 功 ， 哪 些 做 法 可 能 会 导致 网 络 系统 建设 进度 延迟 或 者 达 不 到 了 预期 的 
效果 ， 为 今后 处 置 类 似 的 工作 提供 指导 和 借鉴 。 

客观 上 以 往 的 网 络 系统 建设 工作 存在 很 多 不 足 甚至 失败 的 案例 ， 其 原因 往往 是 对 网 络 系统 
的 技术 发 展 进程 或 者 网 络 系统 的 效益 预期 估计 不 足 ， 使 得 新 建 系统 网 络 在 运行 一 段 时 间 后 很 快 
就 出 现 问 题 。 因 此 ， 网 络 系统 案例 分 析 是 对 考生 是 否 具 有 网 络 规划 设计 师 业 务 能 力 进行 考查 的 
一 个 重要 环节 。 

《3) 体现 对 企 事 业 单 位 信息 化 的 建设 的 促进 作用 。 

案例 分 析 的 考 碍 涉及 网 络 系统 建设 的 方方面面 ， 包 括 网 络 系统 架构 、 网 络 系统 的 配置 、 网 
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络 系统 的 安全 以 及 网 络 新 技术 等 典型 应 用 ， 要 求 应 若 人 员 不 断 地 对 目 身 知识 水 平和 业务 能 力 进 
行 提 升 。 能 对 所 在 单位 的 网 络 环境 进一步 优化 ， 促 进兵 在 单位 的 信息 化 建设 水 平 。 

信息 化 的 快速 发 展 对 网 络 系统 的 建设 与 规划 提出 了 更 高 的 要 求 。 因 此 ， 痢 技术 、 新 设备 在 
组 网 及 网 络 管理 、 网 络 系统 安全 、 网 络 存储 等 方面 的 应 用 也 是 考查 的 内 容 之 一 。 


2. 案例 分 析 试 题 的 考查 范围 


案例 分 析 是 网 络 规划 设计 师 考 试 中 一 门 重要 的 考试 科目 。 这 个 考试 科目 在 逐步 规范 化 ， 考 
试题 型 也 基本 趋 于 稳定 。 该 科目 要 求 考 生 具 有 丰富 的 网 络 系统 实践 经验 ， 参 与 过 多 项 大 、 中 型 
网 络 系统 的 规划 与 设计 以 及 网 络 建设 工作 。 

就 命题 范围 而 言 ， 案 例 分 析 题 是 有 规律 的 。 了 解 和 掌握 命题 特点 和 考 碍 范围 ， 对 考试 是 有 
所 帮助 的 。 本 章节 简要 论述 案例 分 析 题 的 主要 特 氮 与 考 租 范围 。 

(1) 试题 考点 范围 相对 固定 。 

从 近 几 年 的 考题 来 看 ， 案 例 分析 题 主要 在 网 络 规划 与 设计 、 网 络 工程 管理 、 网 络 优化 、 网 
络 配置 、 网 络 性 能 分 析 与 排 错 等 几 个 方面 命题 。 

比如 就 网 络 优化 问题 来 说 ， 通 帝 围 纸 下 面 的 知识 点 来 进行 考 碍 。 

网 络 分 层 设计 中 ， 将 复杂 网 络 设计 成 儿 个 层次 ， 每 层 厦 重 某 些 特定 的 功能 ， 这 样 可 以 将 一 
个 复杂 的 大 问题 变 成 许多 简单 的 小 问题 。 通常 三 层 网 络 架 构 设 计 的 网 络 有 三 个 层次 , 即 核心 层 、 
汇聚 层 、 接 入 层 。 

核心 层 是 网 络 的 高 速 交 换 主 干 ， 对 整个 网 络 的 连通 起 到 至 关 重 要 的 作用 。 核 心 层 应 该 具有 
可 靠 性 、 高 效 性 、 宛 余 性 、 容 错 性 、 可 管理 性 、 适 应 性 、 低 延 时 性 等 特征 。 在 核心 层 中 应 该 采 
用 高 带宽 的 万 兆 以 上 交换 机 ， 同 时 在 设备 上 采用 双 机 元 余热 备份 ， 并 配置 负载 均衡 功能 来 提高 
网 络 的 性 能 。 

汇聚 层 介 于 网 络 接 入 层 和 核心 层 之 间 ， 即 在 工作 站 接 入 核心 层 前 先 做 汇聚 ， 以 减轻 核心 层 
设备 的 负荷 。 汇 聚 层 具 有 实施 策略 、 安 全 、 工 作 组 接 入 、 虚 拟 局 域 网 (VLAN) 之 间 的 路 由 、 
源 地 址 或 目的 地 址 过 滤 等 多 种 功能 。 在 汇聚 层 中 ,应 该 选用 文 持 三 层 交 换 技术 和 VLAN 的 交换 
机 ， 以 达到 网 络 隔离 和 分 段 的 目的 。 

接 入 层 向 本 地 网 段 提供 工作 站 接 入 。 在 接 入 层 中 应 避免 同一 网 段 的 工作 站 数量 过 多 ， 并 加 
工作 组 提供 高 速 带 宽 接 入 。 

在 网 络 实践 中 ， 中 、 小 型 网 络 也 可 以 设置 成 二 层 网 络 架 构 。 二 层 网 络 一 般 划 分 为 多 个 罗 辑 
区 域 ， 整 体 采用 二 层 结构 设计 ， 用 户 全 部 在 核心 交换 机 上 认证 ， 汇 聚 、 接 入 设备 不 需要 维护 复 
杂 的 网 络 协议 ， 层 次 清晰 ， 架 构 稳 定 ， 方 便 管理 ， 易 于 扩展 和 维护 。 二 层 网 络 有 以 下 技术 特征 : 

。 网 络 扁平 化 。 核 心 设备 做 三 层 网 关 , 终结 ARP， 启 用 路 由 协议 ,核心 层 设备 功能 丰 遇 、 

性 能 强大 、 可 以 更 好 地 满足 园区 网 发 展 需求 。 接 入 层 、 汇 聚 层 合 为 一 层 ， 负 责 二 层 转 
发 ， 维 护 工作 和 傈 单 ， 采 购 成 本 低廉 。 
。 认证 集中 化 。 核 心 设 备 作 为 集中 认证 网 管 ， 终 结 认 证 ， 完 成 策略 统一 下 发 。 接 入 层 不 
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需要 启用 认证 ， 核 心 设备 根据 需要 选择 启用 802.1x 认证 、portal 认证 等 。 

e。 配置 自动 化 。 二 层 架 构 中 大 量 接 入 设备 基本 上 配置 相同 ， 结 合 配置 自动 下 发 工具 ， 在 
短 时 间 内 自动 完成 对 接 入 设备 的 配置 下 发 ， 减 轻 现 场 实 施 人 员 的 工作 量 。 

e。 定位 精确 化 。 与 传统 方案 只 能 定位 到 接 入 交换 机 不 同 ， 二 层 方案 可 以 直接 定位 用 户 到 
接 入 交换 机 的 端口 ， 满 足 精 确定 位 的 需求 。 

(2) 考查 内 容 具 体 明确 。 

案例 分 析 试 题 在 考查 问题 的 解决 方案 时 ， 都 是 围绕 网 络 系统 实践 中 具体 的 软件 或 者 硬件 配 
置 问题 展开 的 ， 具 有 广泛 的 普 遍 性 。 同 时 兼顾 基础 理论 的 活 学 活用 ， 避 免 了 死记 硬 背 的 内 容 。 

一 般 来 说 ， 案 例 分 析 试 题 的 每 一 个 小 问题 对 应 解决 网 络 系统 中 实际 存在 的 一 个 需求 ， 要 求 
考生 针对 不 同 的 需求 给 出 具体 的 解决 方案 。 

例如 ， 对 于 网 络 系统 规划 的 考查 ， 卫 地 址 的 规划 是 必 考 内 容 ， 可 以 要 求 考生 对 题 干 给 出 的 
地 址 与 配置 命令 相互 对 应 ， 并 对 配置 命令 进行 补充 或 者 解释 说 明 ; 也 可 以 要 求 考 生 对 局 域 网 络 
中 终端 用 户 进行 合理 有 效 的 地 址 配置 。 

网 络 系统 规划 的 考查 中 同样 要 求 考 生 熟 悉 网 络 硬件 设备 功能 性 指标 及 部 署 方式 ， 对 于 网 络 
系统 中 设备 不 同 的 部 署 方式 起 到 的 作用 有 较为 清晰 的 认识 。 例 如 ， 对 于 防火 墙 在 网 络 边界 的 部 
普 ， 就 要 求 考 生 掌 握 直 连 部 署 与 劳 路 部 署 的 区 别 ;， 要 求 熟悉 核心 交换 机 的 元 余 备 份 的 配置 ， 要 
求 熟 悉 具 体 网 络 协议 配置 与 网 络 应 用 的 需求 之 间 的 关系 等 。 

案例 分 析 考 查 范 围 要 注意 以 下 几 个 方面 : 

1) 体现 考试 大 纲 的 要 求 。 怠 命题 方法 来 看 ， 案 例 分 析 试 题 一 般 是 从 大 纲 到 案例 ， 是 按照 
大 纲要 求 加 工整 理 出 来 的 ， 试 题 从 实际 项 目 中 经 过 加 工整 理 ， 使 题目 具体 “可 考 性 ”。 因 此 考 
生 对 涉及 的 主要 知识 点 要 熟练 运用 。 例 如 ，VLAN 的 具体 应 用 ， 存 储 知 识 涉 及 的 介质 、 存 储 架 
构 、 存 储 安全 ， 动 态 路 由 协议 的 具体 配置 等 内 容 。 

(2) 苯 循 网 络 设备 规范 。 网 络 系统 实践 和 有 具体 的 设备 是 紧密 相关 的 ， 案 例 中 给 出 所 有 命令 
片段 都 是 来 目 具体 生产 广 商 的 设备 操作 手册 或 指导 性 意见 ， 因 此 考生 要 熟悉 常用 网 络 设备 的 安 
装 、 命 令 、 配 置 、 排 错 及 规范 等 。 

3) 紧 扣 实际 网 络 系统 环境 。 网 络 系统 规划 离 不 开 对 现 有 网 络 系统 运行 环境 以 及 网 络 互 连 
环境 的 分 析 ， 这 包括 对 硬件 设备 性 能 的 分 析 、 对 网 络 用 户 的 需求 分 析 以 及 网 络 互 连 互通 条 件 、 
对 现 有 网 络 服务 的 配置 的 分 析 等 内 容 。 通 过 分 析 给 出 解决 问题 的 具体 方案 ， 或 者 对 多 种 方案 进 
行 取舍。 

(4) 试题 结论 不 存在 争议 。 许 多 厂商 在 技术 的 创新 中 会 提出 自己 的 解决 方案 ， 有 些 方案 在 
实践 中 还 在 不 断 地 完善 和 改进 。 作 为 案例 分 析 的 试题 ， 通 常 只 会 考查 已 经 形成 标准 或 者 规范 的 
内 容 ， 尽 量 不 出 存在 争议 的 题目 ， 题 目的 答案 具有 收敛 性 和 广泛 的 应 用 。 


3. 案例 分 析 试 题解 答 技 蕊 
通过 对 近年 来 案例 分 析 试 题 的 总 结 ， 得 出 案例 分 析 试 题 在 解答 时 要 注意 以 下 几 个 方面 : 
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(1) 认真 阅读 题目 要 求 。 

阅读 题目 要 求 包括 审题 、 理 解 问题 的 含义 和 考 香 内容。 案例 分 析 试 题 一般 都 会 给 出 网 络 拓 
扑 、 配 置 清 单 。 考 生 需 要 通过 阅读 网 络 拓扑 和 配置 了 解 题目 给 出 的 网 络 环境 ， 熟 悉 模 拟 场 景 或 
业务 活动 背景 材料 ， 分 析 其 中 的 因果 关系 、 逻 辑 关 系 、 表 达 顺 序 等 内 容 。 对 于 重要 的 、 关 键 的 
参数 或 者 指标 重点 理解 ， 明 确 题 意 和 考 碍 内 容 。 

例如 ， 对 于 补充 完善 网 络 配置 命令 片段 的 问题 ， 应 该 从 项 目的 配置 表 中 找 出 对 应 的 拓扑 中 
的 设备 位 置 与 互 连 接口 ， 避 免 出 现 漏 项 、 错 项 ， 造 成 判断 失误 。 

(2) 熟悉 试题 的 考查 要 求 。 

案例 分 析 每 一 个 大 题 者 分 为 在 干 小 题 ， 每 一 个 小 题 一 般 都 对 应 题 干 的 具体 需求 。 考 生 应 该 
明确 每 一 个 小 题 要 考 什么 内 容 ， 理 清 解 题 思路 ， 避 免 出 现 答 非 所 问 的 情况 。 

案例 分 析 试 题 要 实现 对 考生 的 网 络 系统 实践 水 平 的 考 理 ， 一 般 要 求 考 生 的 答案 是 收敛 的 、 
明确 的 。 这 一 点 与 论文 科目 的 考 香 有 明显 的 区 别 ， 不 需要 考生 进行 发 挥 ， 回 答 出 怎么 做 即 可 。 

(3) 要 有 上 广汉 的 知识 积累。 

案例 分 析 试题 考查 的 知识 点 是 明确 的 ， 但 是 又 非常 灵活 。 当 考 碍 的 内 容 对 应 到 不 同 网 络 的 
拓扑 规划 、 网 络 设备 、 网 络 故 障 现象 上 时 ， 其 组 网 方式 、 配 置 方式 、 故 障 排 得 、 网 络 安全 防范 
的 处 理 又 趋同 多 变 和 复杂 。 需 要 考生 结合 题目 要 求 ， 认 真 分 机 和 解答 。 

建议 考生 对 历年 的 案例 分 析 试 题 与 对 应 的 考点 结合 起 来 学 习 ， 这 样 有 助 于 加 深 对 考点 的 理 
解 和 应 试 能 力 的 提高 。 

(4) 要 注意 结论 的 合理 性 。 

网 络 系统 案例 都 是 来 和 目 实 际 的 网 络 系统 项 目 ， 考 生 要 注意 不 同 的 网 络 环境 、 网 络 规模 、 
安全 需求 配置 和 应 用 的 策略 是 不 同 的 。 例 如 ， 在 网 络 规划 中 ， 网 络 的 拓扑 本 上身 没 有 优 劣 之 
分 ， 但 是 在 一 定 的 需求 和 前 提 条 件 下 ， 就 会 出 现 是 否 合理 、 是 否 需 要 调整 、 怎 么 调整 等 技 
术 问 题 。 不 同 的 网 络 架构 、 设 备 配 置 、 网 络 安全 部 普 对 网 络 管理 、 网 络 应 用 影响 效果 区 别 
是 很 大 的 。 


7.2 网 络 规划 案例 


7.2.1 案例 1 


1. 典型 试题 


阅读 以 下 描述 ， 然 后 回答 问题 1 一 问题 $。 
茶 高 校 校园 网 使 用 3 个 出 口 ， 新 老 校 区 用 户 均 通 过 老 校 区 出 口 访 问 互 联网 ， 其 中 新 老 校 区 
距离 20 千 米 ， 拓 扑 结构 如 图 7-1 所 示 ， 学 校服 务 器 区 网 络 拓扑 结构 如 图 7-2 所 示 。 
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图 7-1 
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【问题 1 】 

实现 多 出 口 负载 均衡 通常 有 依据 源 地 址 和 目标 地 址 两 种 方式 ， 分 别 说 明 两 种 方式 的 实现 尺 
理 和 特点 。 

【问题 2 】 

根据 学 校 多 年 实际 运行 情况 ， 现 需 对 图 7-1 所 示 网 络 进行 优化 改造 ， 要 求 : 

(1) 在 只 增加 负载 均衡 设备 的 情况 下 ， 且 仅 限 通过 老 校区 核心 交换 机 1 连接 出 口 路 由 器 ; 

(2) 采用 网 络 的 元 余 ， 解 决 新 老 校 区 互联 网 络 中 的 单 点 故障 ; 
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(3) 通过 多 出 口 线路 负载 ， 解 决 单 链 路 过 载 ; 

(4) 考虑 教育 网 的 特定 应 用 ， 需 采用 明确 路 由 。 

试 画 出 图 7-1 优化 后 的 网 络 拓扑 结构 ， 并 说 明 改 造 理由 。 

【问题 3】 

现 学 校 有 两 套 存储 设备 ， 均 放置 于 老 校 区 中 心机 房 ， 存 储 1 是 基于 了 了 -SAN 技术 ， 人 存储 2 是 基 
于 FC-SAN 技术 。 试 说 明 图 7-2 中 数据 库 服 务 器 和 容 灾 服务 器 应 采用 哪 种 存储 技术 ， 并 说 明理 由 。 

【问题 4】 

当前 存储 磁盘 柜 中 通常 包含 SAS 和 SATA 磁盘 类 型 ， 试 说 明 图 7-2 中 数据 库 服务 器 和 容 灾 
服务 器 各 应 选择 哪 种 磁盘 类 型 ， 并 说 明理 由 。 

【问题 5】 

目前 存储 中 使 用 较 多 的 是 RAID 5 和 RAID 10， 试 说 明 图 7-2 中 数据 库 服 务 器 和 容 灾 服 务 
器 〈 数 据 级 ) 各 应 选择 哪 种 RAID 技术 ， 并 说 明理 由 。 


2. 案例 分 析 及 参考 答案 


1) 案例 分 析 

本 题 考 但 的 校园 网 络 中 涉及 网 络 出 口 链 路 调整 与 存储 选 型 方面 的 知识 。 

(1) 多 ISP 出 口 负载 均衡 。 高 校 网 络 出 口 带宽 需求 增长 快 ， 传 统 产品 和 解决 方案 在 出 口 选 
路 问题 上 存在 不 智能 、 不 均衡 等 问题 ， 导 致 用 户 终端 接 入 互联 网 的 体验 效果 不 好 ， 这 是 进行 高 
校 多 出 口 负载 均衡 规划 的 动因 。 通 常 高 效 的 负载 均衡 解决 方案 包含 以 下 技术 特点 : 

e。 提供 内 网 至 Internet 流量 负载 均衡 〈Outbound) 。 

e。 实现 从 Internet 对 服务 器 访问 流量 的 负载 均衡 〈Inbound) 。 

e。 文 持 目 动 检测 和 屏蔽 故障 Internet 链 路 。 

e。 ， 文 持 多 种 静态 和 动态 算法 智能 均衡 多 个 ISP 链 路 流量 。 

e。 ， 文 持 多 出 口 链 路 动态 见 余 ， 流 量 比率 和 切换 。 

e。 文 持 多 种 DNS 解析 和 规划 方法 ， 适 合 各 种 用 户 环境 。 

e。 ， 文 持 Layer2-7 交换 和 流量 管理 控制 的 功能 。 

e。 完全 文 持 各 种 应 用 服务 器 负载 均衡 、 防 火 墙 负载 均衡 。 

e。 多 层 安 全 增强 防护 ， 抵 挡 黑 客 攻 击 。 

e。 提供 详细 的 链 路 监控 报表 ， 提 供 详细 岁 形 界 面 。 

本 题 痢 重 考 得 的 是 内 网 至 Internet 流量 负载 均衡 (Outbound) 的 技术 规划 。 

(2) 存储 区 域 网 络 〈Storage Area Network，SAN) ， 用 光纤 通道 (Fibre Channel) 技术 ， 
通过 光纤 通道 交换 机 连接 存储 阵列 和 服务 器 主机 ， 建 立 专 用 于 数据 存储 的 区 域 网 络 。SAN 续 
构 有 两 种 ，IP-SAN 与 FC-SAN。 

FC-SAN 的 特点 : 

传输 带宽 高 , 传统 的 有 1 Gb/s、2 Gb/s、4 Gbls 和 8Gby/s 四 种 标准 , 主流 的 是 4 Gb/s 和 8Gbys， 
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性 能 稳定 可 靠 ， 技 术 成 熟 ， 是 关键 应 用 领域 和 大 规模 存储 网 络 的 选择 。 

成 本 极其 高 昂 ， 需 要 光纤 交换 机 和 大 量 的 光纤 布线 ， 维 护 及 配置 复杂 ， 需 要 培训 专业 FC 
网 络 管理 员 。 

IP-SAN 的 特点 : 

成 本 低廉 ， 购 买 的 网 线 和 交换 机 都 是 用 以 太 网 ， 甚 至 可 以 利用 现 有 网 络 组 建 SAN。 

部 署 简单 ， 管 理 难度 低 。 

基于 卫 网 络 的 了 SAN 没有 距离 限制 ， 容 易 实 现 异 地 存储 、 远 程 容 灾 等 跨越 WAN 的 复杂 
组 网 。 

(3) 服务 器 硬盘 SAS 与 SATA 的 区 别 。SAS 即 串 行 连接 SCSI， 是 新 一 代 的 SCSI 技术 ， 和 
传统 的 Serial AIA 〈SAITIA) 硬盘 都 是 采用 串 行 技术 以 获得 更 高 的 传输 速度 。 它 通过 缩短 连结 线 
改善 内 部 空间 并 开发 出 全 新 接口 改善 存储 系统 的 效能 、 可 用 性 和 扩充 性 ， 提 供与 SATA 硬盘 的 
兼容 性 ,能 为 带宽 要 求 更 高 的 主流 服务 器 和 企业 级 存储 提供 所 需 的 高 性 能 、 高 扩展 性 和 可 靠 性 。 

2) 参考 答案 

【问题 1 】 

依据 源 地 址 负载 均衡 : 根据 源 卫 地 址 来 选择 不 同 外 网 出 口 ， 可 以 根据 各 出 口 带宽 按 比例 
划分 对 应 的 源 了 下 子 网 段 ， 达 到 出 口 负载 均衡 的 作用 ， 但 是 访问 同一 资源 时 ， 部 分 用 户 啊 应 快 ， 
部 分 用 户 啊 应 慢 。 

依据 目的 地 址 负载 均衡 : 根据 目的 王 地 址 来 选择 不 同 外 网 出 口 ， 内 部 用 户 可 以 根据 不 同 
运营 商 提供 的 资源 , 选择 相应 运营 商 的 出 口 , 但 是 会 导致 提供 资源 丰富 的 运营 商 出 口 负载 过 大 ， 
提供 资源 相对 比较 少 的 运营 商 出 口 负载 很 小 ， 造 成 各 出 口 不 均衡 的 现象 。 

【问题 2】 

改造 后 的 出 口 网 络 拓扑 如 图 7-3 所 示 。 


负载 均衡 设 兴 上 


老 校 区 


老 校 区 1 
入 核心 交换 机 2 


核心 交换 机 1 AN 


新 校区 


新 校区 
”核心 交换 机 2 


核心 交换 机 1 
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改造 理由 : 

(1) 将 4 台 核 心 交 换 机 组 成 环 网 结构 ， 避 免 新 老 校 区 设备 或 单 链 路 故障 造成 新 老 校 区 网 络 
中 朵 。 

〈2) 在 电信 、 联 通 链 路 增加 负载 均衡 设备 ， 平 衡 各 出 口 的 负载 和 加 快 内 部 用 户 访问 外 网 的 
速度 。 

(3) 同时 考虑 教育 网 的 特定 应 用 ， 配 置 教育 网 走 明 确 路 由 。 

【问题 3】 

(1) 容 灾 服 务 器 : 容 灾 服务 器 和 存储 设备 距离 20 千 米 ， 需 要 远 距 离 传输 ， 所 以 只 能 选择 
IP-SAN 技术 。 

(2) 数据 库 服 务 右 : 需要 高 性 能 、 大 并 发 、 快 速 啊 应 ， 最 合理 的 应 该 选择 FC-SAN 技术 。 

【问题 4】 


数据 库 服务 器 选择 SAS 厂 盘 ， 容 灾 服 务 器 选择 SATA 磁盘 。 原 因 如 下 : 

(1) SAS 是 双 问 口 ， 采 用 全 双 工 的 工作 方式 传输 数据 ， 而 SAIA 是 单 端口 ， 采 用 半 双 工 的 
工作 方式 传输 数据 。 

(2) SAS 使 用 SCSI 命令 进行 错误 校正 和 错误 报告 ， 这 比 SAIA 采用 的 ATA 命令 集 有 更 多 
的 功能 。 

(3) SAS 磁盘 容量 小 ， 价 格 比较 昂贵 ，SATA 磁盘 容量 大 ， 价 格 比较 便宜 。 

【问题 5】 

数据 库 服务 器 选择 RAID 10， 容 灾 服 务 器 选择 RAID S。 原 因 如 下 : 

(1) IO: 读 操作 上 ，RAID 10 和 RAID 5 是 相当 的 ， 写 操作 上 ，RAID 10 好 于 RAID 5。 

(2) 数据 重 构 : 在 一 块 磁盘 失效 ， 进 行 数据 重 构 期 间 ，RAID5 要 比 RAID10 耗 时 长 ， 负 荷 
大 ， 数 据 丢 失 可 能 性 高 ， 可 靠 性 低 。 


7.2.2 ”案例 2 
1. 典型 试题 


阅读 以 下 描述 ， 然 后 回答 问题 1~ 问 题 4。 
东 学 校 网 络 拓扑 结构 如 图 7-4 所 示 。 


【问题 1】 
目前 网 络 中 存在 多 种 安全 攻击 ， 需 要 在 不 同 的 位 置 部 署 不 同 的 安全 捕 施 进行 防范 。 常 见 的 
安全 防范 措施 有 : 


@ 防 非法 DHCP 欺骗 ; 

@) 用 户 访问 权限 控制 技术 ; 
G@) 开启 环 路 检测 〈STP) ; 
由 防止 ARP 网 关 其 骗 ; 

@ 广播 风暴 的 控制 ; 
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G) 并 发 连接 数控 制 ; 

CD 病毒 防治 。 

其 中 : 在 安全 设备 1 上 部 署 的 措施 有 : _〈1) 
在 安全 设备 2 上 部 署 的 措施 有 : _ (2) ; 
在 安全 设备 3 上 部 署 的 措施 有 : _ (3 ) 
在 安全 设备 4 上 部 署 的 措施 有 : _ 4) 


CE ) 


出 口 路 由 器 > TIPv6 路 由 器 全 


安全 设备 4 安全 设备 3 


【问题 2】 

学 校服 务 器 群 目 前 共有 200 台 服 务 器 为 全 校 提供 服务 ,为 了 保证 各 服务 器 能 提供 正 弟 的 服 
务 ， 需 对 图 7-4 所 示 防 火 墙 进 行 安全 配置 ， 设 计 师 制定 了 2 套 安全 方案 ， 请 根据 实际 情况 选择 
合理 的 方案 并 说 明理 由 。 

方案 一 : 根据 各 业务 系统 的 重要 程度 ， 划 分 多 个 不 同 优先 级 的 安全 域 ， 每 个 安全 域 采 用 一 
个 独立 子 网 ， 安 全 域 等 级 高 的 主机 默认 人 允许 访问 安全 域 等 级 低 的 主机 ， 安 全 域 等 级 低 的 主机 不 
能 直接 访问 安全 域 等 级 高 的 主机 ， 然 后 根据 需要 添加 相应 安全 策略 。 

方案 二 : 根据 各 业务 系统 提供 的 服务 类 型 ， 划 分 为 数据 库 、Web、 认 证 等 多 个 不 同 虚 拟 防 
火场 ， 同 一 虚拟 防火 场 中 相同 VLAN 下 的 主机 可 以 互 访 ， 不 同 VLAN 下 的 主机 均 不 允许 互 访 ， 
不 同 虚 拟 防 火场 乙 间 主 机 均 不 能 互 访 。 

【问题 3】 

为 了 防止 资源 的 不 合理 使 用 ， 通 常 在 核心 层 架 设 流 探 设 备 进 行 流量 管理 和 终 痛 控制 ， 请 列 
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举 出 3 种 以 上 流 控 的 具体 实现 方案 。 
【问题 4]】 
非法 DHCP 欺 允 是 网 络 中 常见 的 攻击 行为 ， 说 明 其 实现 原理 并 说 明 如 何 防范 。 


2. 案例 分 析 及 参考 答案 


1) 案例 分 析 

本 题 考 碍 的 是 校园 网 络 安全 规划 方面 的 知识 。 

安全 的 网 络 应 该 具有 机 密 性 、 完 整 性 、 可 用 性 、 可 控 性 、 可 审查 性 与 可 保护 性 等 特点 。 安 
全 保护 包括 网 络 设备 安全 、 网 络 系统 安全 和 数据 安全 等 内 容 。 对 校园 网 产生 安全 威胁 的 因素 主 
要 有 以 下 几 个 方面 : 


来 自 互联 网 的 外 部 安全 威胁 。 黑 客 通过 网 络 监听 等 手段 获得 内 部 网 用 户 的 用 户 名 、 口 
令 等 信息 ， 进 而 假冒 内 部 合法 身份 进行 非法 登录 ， 和 镭 取 内 部 网 重要 信息 ;墨客 通过 发 
送 大 量 数据 包 对 网 络 服务 器 进行 攻击 ， 使 得 服务 器 超 负 倚 工作 导致 拒绝 服务 甚 全 系统 
败 痪 。 

来 自 校 园 网 内 的 安全 威胁 。 高 校 学 生 对 网 络 新 技术 的 好 奇 心 易 引 发 网 络 攻 击 ， 同 时 还 
存在 校园 网 大 量 的 资源 下 载 ， 易 造成 网 络 堵塞 和 病毒 传播 。 

来 自 应 用 程序 的 安全 漏洞 。 应 用 程序 系统 是 动态 的 、 不 断 变 化 的 ,安全 性 也 是 动态 的 。 
这 就 需要 针对 应 用 程序 安全 漏洞 采取 相应 的 安全 措施 ， 降 低 应 用 程序 的 安全 风险 。 
来 自 系统 自身 的 安全 缺陷 。 目 前 不 论 是 Windows 还 是 UNIX 操作 系统 以 及 其 他 厂商 开 
发 的 应 用 系统 ， 都 存在 系统 安全 漏洞 。 黑 客 常 党 利用 此 类 未 能 及 时 修补 的 漏洞 进行 大 
范围 的 网 络 攻击 ， 给 受 影 啊 的 企业 造成 巨大 的 财产 或 声誉 损失 。 

来 自 网 络 设备 的 物理 安全 威胁 。 威 胁 包 括 : 地 震 、 水 灾 、 火 灾 等 环境 事故 造成 整个 系 
统 毁 灭 ; 电源 故障 造成 设备 断 电导 致 操作 系统 引导 失败 或 数据 库 信 息 丢 失 ; 设备 被 盗 、 
被 毁 造 成 数据 丢失 或 信息 泄露 。 


本 题 考 查 的 是 网 络 安全 防范 技术 在 校园 网 的 典型 部 署 , 包括 防范 的 威胁 类 型 以 及 部 着 位 置 
等 内 容 ， 要 求 考生 对 于 各 类 安全 防范 方案 的 适应 性 有 较为 准确 的 认识 。 

2) 参考 答案 

【问题 1】 

(1) 并 发 连接 数控 制 

(2) 用 户 访问 权限 控制 技术 

(3) 防 非 法 DHCP 欺骗 


开局 环 路 检测 〈STP ) 
防止 ARP 网 关 欺 骗 
广播 风暴 的 控制 


《4) 病毒 防治 
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【问题 2】 

人选 耕 方案 三 。 

理由 如 下 : 

(1) 如 果 服 务 器 规模 比较 大 ， 方 案 一 按照 主机 添加 安全 策略 ， 所 以 防火 墙 的 安全 策略 数量 
比较 多 ， 对 防火 墙 的 资源 消耗 也 会 比较 大 ， 方 案 二 护照 服 务 添加 安全 和 菏 略 ， 所 以 防火 墙 安 全 守 
略 数量 不 多 ， 对 防火 墙 的 资源 消耗 也 会 比较 小 。 

(2) 如 果 某 一 主机 感染 病毒 或 木马 时 ， 方 案 一 安全 域 级 别 低 或 者 相同 的 其 他 主机 会 受到 影 
响 ， 方 案 二 相同 虚拟 防火 墙 中 相同 VLAN 主机 会 受到 影响 ， 其 余 主 机 不 会 受 影 响 。 

(3) 后 期 服务 器 数量 大 幅 增 加 ， 方 案 一 需 新 增多 条 安全 策略 ， 方 案 二 服务 类 型 不 新 增 的 情 
况 下 ， 安 全 策略 基本 不 需 增 加 。 

【问题 3】 

(1) 针对 地 址 进行 带宽 限制 。 针 对 源 卫 地 址 、 目 的 耳 地 址 进行 带宽 限制 ， 防 止 某 地 址 独 
十 府 需 。 

(2) 针对 子 网 进行 带宽 限制 。 针 对 子 网 进行 带宽 限制 ， 防 止 某 子 网 独占 珊 宽 ， 如 茶 个 部 门 
划分 一 个 子 网 。 

(3) 针对 服务 进行 带宽 限制 。 针 对 服务 进行 带宽 限制 ， 防 止 菜 服务 独占 珊 宽 ， 如 视频 、 
BT 等 。 

【问题 4】 

非法 DHCP 其 骗 原 理 : 客户 端 第 一 次 登录 、 重 新 登录 或 租 期 已 满 不 能 更 新 租约 时 ， 以 广播 
方式 寻找 服务 器 ， 并 且 只 接收 第 一 个 到 达 的 服务 器 提供 的 网 络 配置 参数 ， 如 果 在 网 络 中 存在 多 
台 DHCP 服务 器 《有 一 人 台 或 更 多 台 是 非 授权 的 ) ， 并 且 非 授权 的 DHCP 服务 器 先 应 答 ， 那 么 客 
户 站 就 会 获得 非 授权 的 网 络 参 数 。 

防范 方法 ， 可 以 在 交换 机 上 开启 DHCP SNOOPING， 通 过 建立 和 维护 DHCP SNOOPING 
绑 定 表 并 过 滤 不 可 信任 的 DHCP 信息 ， 只 让 合法 的 DHCP 应 答 通 过 交换 机 ， 阻 断 非 法 应 答 ， 从 
而 防止 DHCP 其 驴 。 


7.2.3 案例 3 


1. 典型 试题 


阅读 以 下 说 明 ， 回 答 问 题 1 至 问题 4， 将 解答 填 入 答题 纸 对 应 的 解答 栏 内 。 

某 居 民 小 区 FTTB+HGW 网 络 拓扑 如 图 7-5 所 示 。GPON OLT 部 署 在 汇聚 机 房 ， 通 过 聚合 
方式 接 入 城 域 网 ，ONU 部 署 在 居民 楼 楼 道 交 接 箱 里 ， 通 过 用 户 家 中 部 赣 的 LAN 上 行 的 HGW 
来 提供 业务 接 入 接口 。 

HGW 通过 ETH 接口 上 行 至 ONU 设备 ， 下 行 通过 FE/WiFi 接口 为 用 户 提供 Internet 业务 ， 
通过 FE 接口 为 用 户 提 供 IPTV 业务 。 

HGW 提供 PPPoE 拨号 、NATI 等 功能 ， 可 以 实现 家 庭 内 部 多 人 台 PC 共 带 上 网 。 
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ONU Splitter ” OLT 


HGW 
国 
IPTV 系 统 
接 人 平台 
用 户 便 接 人 入 便 | 网络 侧 
图 7-5 


【问题 1 】 

(1) 对 网 络 进行 QoS 规划 时 ， 划 分 了 语音 业务 、 管 理 业 务 、IPTV 业务 、 上 网 业务 ， 其 中 
优先 级 最 高 的 是 ， 优 先 级 最 低 是 包 。 

(2) 通常 情况 下 ， 一 路 语音 业务 所 需 的 带宽 应 达到 或 接近 _@ kb/s， 一 路 高 清 IPTV 所 需 
的 带宽 应 达到 或 接近 _ 旨 Mb/s。 


A. 100 B. 10 C. 1000 D. 5350 
(3) 简 述 上 网 业务 数据 规划 的 原则 。 
【问题 2】 


小 区 用 户 上 网 业务 需要 配置 的 内 容 包 括 OLT、ONU、 家 庭 网 关 HGW， 其 中 : 
(1) 在 家 庭 网 关 HGW 上 配置 的 有 @ 和 G@@ 。 

(2) 在 ONU 上 配置 的 有 、@、@ 和 d@。 
(3) 在 OLT 上 配置 的 有 四 、@@ 、 四 和 人 各。 
@@-~ 仅 备 选 答案 : 

.配置 语音 业务 

配置 上 网 业务 

.配置 IPTV 业务 

.配置 聚合 、 拥 塞 控 制 及 安全 策略 

增加 ONU 

.配置 OLT 和 ONU 之 间 的 业务 通道 

G. 配置 OLT 和 ONU 之 间 的 管理 通道 

【问题 3】 

某 OLT 上 的 配置 命令 如 下 所 示 。 


梓 虽 局 O> 
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步骤 1: 

huawel(conflg)#vlan 8 smart 

huawel(config)# 妈 ort vlan 8 0/19 0 
huawel(config)#vlan priorlty 8 6 
huawel(config) 鸭 nterface vlanlif 8 
huawel(conflig-if-vlanlf8)#ip address 192.168.50.1 24 
huawel(conflig-lf-vlanlf8)#qult 


步骤 2: 

huawei(config)#interface gpon 0/2 ”注释 : ONU 通过 分 光 器 接 在 GPON 端口 O/2/1 下 
huawel(config-lf-gpon-0/2)#ont 1pconfig 1 1 static 1p-address 192.168.50.2 mask 2S$.233.2S5S.0 
gateway 192.108.30.254 vlan 8 

huawel(conflig-lf-gpon-0/2)#qult 


步骤 3: 

huawel(config)#servlce-port 1 vlan 8 gpon 0/2/1 ont 1 gemport 11 multi-service User-vlan 8 
ITX-cttr 0 tx-cttr 0 

傈 要 说 明 步 又 1~3 命令 片段 实现 的 功能 。 

步骤 1: _ 四 .。 

步骤 2: _ 加 . 

步骤 3: _ 人 


【问题 4】 
在 该 网 络 中 ， 用 户 的 语音 业务 《电话 ) 的 上 联 设备 是 ONU， 采 用 了 .248 语音 协议 ， 通 过 
运营 的 _《9 接口 和 语音 业务 通道 接 入 网 络 侧 的 _《9 。 


2. 案例 分 析 及 参考 答案 


1) 案例 分 析 

本 题 考 但 的 是 FTTB+HGW 的 全 局 配置 案例 .本 案例 来 源 于 运营 商 为 家 庭 用户 提 供 的 网 络 、 
电视 、 语 音 的 一 体 化 解决 方案 。 其 中 FTTB 指 的 是 光纤 到 楼 〈Fiberto The Building) ， HGW 指 
的 是 家 庭 综 合 网 关 《〈 面 癌 家 庭 和 小 型 办 公 网 络 用 户 设计 的 网 关 设 备 ， 能 提供 路 由 功能 ， 支 持 多 
种 业务 接口 ， 如 POTS、LAN/WLAN 或 xDSL 等 ， 并 支持 远程 管理 与 诊断 ) 。 

【问题 1】 

FTTB 的 Qos 规划 是 端 到 端的 ， 不 同业 务 报 文通 过 VLAN ID 进行 区 分 ， 对 于 GPON 系统 基 
于 802.1p 优先 级 进行 GEM Port 上 映射。 队列 调度 方式 采用 PQ_ 〈Priority Queue， 优 先 级 队列 ) 。 通 
常情 况 下 ， 管 理 业 务 、 语 音 业 务 、IPTV 业务 、 上 网 业务 的 802.1p 的 优先 级 分 别 设 定 为 6、$、4、0。 
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语音 业务 带宽 上 下 行 对 称 ,实际 带宽 与 通信 双方 采用 的 编 解码 格式 有 关 , 一 般 情 况 下 100 kb/s 
即 可 满足 大 部 分 应 用 场景 ; IPTV 业务 主要 占用 下 行 带宽 ,实际 带宽 主要 取决 于 IPTV 头 端 设备 采 
用 的 编码 格式 、 画 中 画 信 息 等 因素 ， 同 时 考虑 10% 的 带宽 突 发 度 以 及 每 用 户 人 允许 同时 观看 的 节目 
数 〈 多 机 顶 盒 接 入 ) 。 通 单一 路 IPTYV 高 清 视频 的 带宽 需求 是 9.7Mbits。 

上 网 业务 采用 SVLAN+CVLAN 双 层 VLAN, 在 ONU 基于 用 户 端 口 映 射 内 层 CVLAN,， 保 
证 同一 PON 板 下 每 个 ONU 的 CVLAN 不 重复 ， 在 OLT 进行 VLAN 切换 并 加 一 层 SVLAN: 
C'VLAN<->SVLAN +CVLAN ( 即 QinQ 采用 的 是 层次 化 VLAN 技术 区 分 用 户 CVLAN 和 运营 


商 的 SVLAN) 。 
【问题 2】 
FTTB+HGW 组 网 场景 〈 语 音 业 务 由 ONU 提供 ) 下 的 配置 详细 步骤 如 下 表 所 示 : 
配置 


配置 步骤 配置 说 明 


OLT 上 增加 ONU | 只 有 在 OLT 上 成 功 增 加 ONU 后 ， 才 能 对 ONU 进行 相关 配置 
配置 OLT 和 ONU | 打通 了 OLT 和 ONU 之 间 的 带 内 管理 通道 后 , 即 可 通过 OLT 登录 到 ONU 
OLT “| 之 间 的 管理 通道 “| 上， 对 ONU 进行 相关 配置 


上 OLT ONU | 在 OUT 上 分 别 创建 上 网 等 业务 通道 ， 使 ONU 业务 可 以 正常 转发 


之 间 的 业务 通道 

由 于 ONU 所 文 持 的 硬件 能 力 不 同 ， 可 以 细 分 为 LAN 上 网 、ADSL2+ 
配置 上 网 业务 上 网 VDSL2 上 网 和 VDSL2 Vectoring 上 网 业务 , 实际 配置 时 根据 ONU 
所 提供 的 端口 ， 选 择 其 中 一 种 配置 


主体 


吕 


ONU 配置 语音 业务 ee H.248 和 SIP 两 种 协议 ， 它 们 是 互 斥 关系 ， 即 同时 只 能 配置 
IPTV 业务 包括 VOD 点 播 业务 和 组 播 业务 ， 两 者 配置 存在 差异 ， 需 要 分 
别 进行 配置 
OLT 通过 全 局 配置 上 行 链 路 聚合 、 队 列 优先 级 调度 ， 保 障 业务 的 可 靠 性 ， 通 
ONU “| 制 及 安全 策略 过 全 局 配置 安全 策略 ， 保 障 业 务 的 安全 性 
配置 上 网 业务 
(HGW 侧 ) 
人 配置 IPTV 业务 
(HGW 侧 ) 
忆 二 和 ONU 提供 了 PPPoE 拨号 仿真 、 呼 叫 仿真 及 组 播 业 务 仿 真 的 远程 验证 方 
ONU “| 验证 业务 法 ， 便 于 调 测 配 置 工程 师 在 完成 业务 配置 后 ， 不 用 二 次 进 站 ， 远 程 即 可 
进行 业务 验收 
【问题 3】 


该 命令 片段 的 作用 是 配置 OLT 和 ONU 之 间 的 管理 通道 ,实现 从 OLT 远程 登录 ONU 进行 
配置 ， 要 求 OLT 管理 VLAN 与 ONU 的 管理 VLAN 相同 ，OLT 管理 了 与 ONU 的 管理 卫 在 同 
一 网 段 。 

步骤 一 配置 OLT 的 带 内 管理 VLAN 为 8，VLAN 优先 级 为 6， 了 地 址 为 192.168.50.1/24。 
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步骤 二 配置 ONU 的 静态 卫 地 址 为 192.168.50.2/24， 网 关 为 192.168.50.254， 管 理 VLAN 
为 8( 同 OLT 的 管理 VLAN) 。 

步骤 三 的 配置 业务 流 索 引 为 1， 管理 VLAN 为 8，GEM Port ID 为 11， 用 户 侧 VLAN 为 8。 
OLT 上 对 带 内 管理 业务 流 不 限 速 ， 因 此 直接 使 用 索引 为 6 的 缺 省 流量 模板 。 

【问题 4】 

在 配置 语音 业务 时 需要 明确 的 是 : 

ONU 支持 的 语音 协议 有 H.248 和 SIP, 但 同一 时 间 只 文 持 一 种 ,可 以 在 ONU 上 通过 display 
protocol Support 命令 查询 当前 文 持 的 语音 协议 ;如 果 需 要 切换 ， 要 在 确保 MG 接口 〈H.248 协 
议 ) 或 SIP 接口 〈SIP 协议 ) 、 全 局 数据 已 经 删除 的 情况 下 ， 使 用 protocol support 命令 进行 协 
议 的 切换 。 设 置 完 成 后 ， 需 要 保存 配置 并 重新 启动 系统 ， 配 置 的 协议 类 型 才能 生效 。 

2) 参考 答案 


【问题 1】 

(1) 〈1) 管理 业务 (1 从 ) 
(2) 上 网 业务 (1 分 ) 

【六 革 让 (1 分 ) 
(4) B (1 分 ) 

(3) 不 同 场景 下 VLAN 的 规划 、VLAN 切换 策略 的 规划 。 (4 分 ) 

【问题 2】 

(5$) B 

(6) C “( 注 (3$) 〈6) 答案 可 互 换 ) 

(7) B 

(8) A 

(9) C 

(10) D ( 注 : (7) ~ 〈10) 答案 可 互 换 ) 

《了 刀 》 百 

(12) F 

(13) G 

(14) D ( 注 ， (11) ~ (14) 答案 可 互 换 ) 

【问题 3】 


(15) 配置 OLT 的 珊 内 管理 VLAN 和 了 王 地 址 。 
(16) 配置 ONU 的 市 内 管理 VLAN 和 了 琴 地 址 。 
(17) 配置 帝 内 管理 业务 流 。 

【问题 4】 

(18) MG 

(19) 多 媒体 绽 合 业务 平台 
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7.3 网 络 配置 和 优化 案例 


7.3.1 案例 1 


1. 典型 试题 


阅读 以 下 描述 ， 然 后 回答 问题 1 一 问题 4。 
-企业 网 络 拓扑 结构 如 图 7-6 所 示 。 


出 口 路 由 需 
Router-A 


Switch-B 


Switch-2 


和 人 人 人 本 [人 


【问题 1】 
企业 网 络 的 可 用 性 和 可 靠 性 是 至 关 重 要 的 ， 经 常会 出 现 因 网 络 设备 、 链 路 损坏 等 导致 整个 
网 络 次 痪 的 现象 。 为 了 解决 这 个 问题 ， 需 要 在 已 有 的 链 路 基础 上 再 增加 一 条 备用 链 路 ， 这 称 作 


网 络 郊 余 。 
(1) 对 于 企业 来 说 ， 直 接 增 加 主干 网 络 链 路 带宽 的 方法 有 哪些 ? 并 请 分 析 各 种 方法 的 优 缺 点 。 
(2) 一 般 音 用 的 网 络 元 余 技 术 可 以 分 为 哪 两 种 。 
【问题 2】 


(1) 网 络 元 余 是 当前 网 络 为 了 提高 可 用 性 、 稳 定性 必 不 可 少 的 技术 ,在 本 企业 网 络 中 要 求 使 
用 双核 心 交 换 机 互 做 备份 实现 两 种 网 络 见 余 技术 ,同时 出 口 路 由 器 因为 负载 过 重 也 需要 进行 网 络 
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结构 调整 优化 ， 请 画图 说 明 在 不 增加 网 络 设备 的 情况 下 完成 企业 主干 网 络 结构 调 优 。 〈4 分 ) 

(2) 在 两 台 核 心 交 换 机 上 配置 VRRP 元 余 ， 以 下 为 部 分 配置 命令 。 

[SwitchA] Interface vlanlf 100 

[SwitchA-Vlanifl100] vrrpvrld 1 virtual-Ip 10.1.1.111 

[SwitchA-Vlanifl100] vrrpvrlid 1 prlorlty 120 

[SwitchA-Vlanlifl100] vrrpvrid 1 preempt-mode timer delay 20 

[SwitchA-Vlanlf100] qult 

[SwitchB] Interface vlanlf 100 

[SwitchB-Vlanlf100] vrrpvrld 1 virtual-Iip 10.1.1.111 

[SwitchB-Vlanlf100] qult 

在 Switch-A 上 创建 VRRP 备份 组 1, 配置 Switch-A 在 该 备份 组 中 的 _@ 为 120, 并 配置 @) 为 
20 秒 。 在 Switch-A 执行 display vrrp 命令 ， 可 以 看 到 Switch-A 在 备份 组 中 的 状态 为 _@) 。 

【问题 3】 

随 独 企业 网 络 的 广泛 应 用 ， 用 户 对 于 移动 接 入 企业 网 的 需求 不 断 增 加 ， 无 线 网 络 作 为 有 线 
网 络 的 有 效 补 充 ， 和 攒 信 厦 投资 少 、 建 设 周 期 短 、 使 用 方便 灵活 等 特点 越 来 越 受 到 企业 的 重视 ， 
近年 来 企业 也 逐步 加 大 无 线 网 络 的 建设 力度 。 

(1) 构建 企业 无 线 网 络 如 何 保证 有 效 履 盖 区 域 并 尽 可 能 减少 死角 ? 

(2) IEEE 认定 的 四 种 无 线 协 议 标准 是 什么 ? 

(3) 简单 介绍 三 种 无 线 安全 的 加 密 方 式 。 

【问题 4】 

随 痢 企业 关键 网 络 应 用 业务 的 发 展 ， 在 企业 网 络 中 负载 均衡 的 应 用 需求 也 越 来 越 大 。 

(1) 负载 均衡 技术 是 什么 ? 负载 均衡 会 根据 网 络 的 不 同 层次 〈 网 络 七 层 ) 来 划分 ， 其 中 ， 
第 二 层 的 负载 均衡 是 什么 技术 ? 

2) 服务 器 集群 技术 和 服务 器 负载 均衡 技术 的 区 别 是 什么 ? 


2. 案例 分 析 及 参考 答案 


1) 案例 分 析 

本 题 考 查 的 是 园区 网 络 性 能 优化 的 知识 。 

在 网 络 规划 中 ， 通 第 按照 功能 或 业务 进行 分 层 设 计 ， 每 层 都 是 有 特定 角色 和 功能 的 、 结 构 
定义 民 好 的 模块 。 大 型 网 络 一 般 依据 对 流量 负载 、 网 络 或 用 户 行 为 的 分 析 来 规划 层 与 层 之 间 的 
互 连 。 

园区 网 以 楼 宇 为 单位 进行 网 络 建 设 ， 每 栋 楼 宇 可 以 按照 二 层 或 三 层 树 型 结构 建设 ， 设 计 汇 
聚 点 。 同 一 楼 宇内 的 数据 交换 刺 在 本 楼 宇内 部 完成 ， 不 同 楼 宇 的 数据 交换 通过 核心 层 完成 。 为 
你 证 网 络 的 可 徘 性 ， 在 网 络 和 点 进行 双 节 点 设计 实现 设备 级 见 余 ， 在 关键 业务 链 路 上 采用 
Eth-Trunk 链 路 实现 链 路 级 可 伟 性 。 对 于 模块 化 核心 交换 机 或 者 出 口 路 由 器 ,还 常 采用 双 主 控 实 
现 单 板 级 元 余 。 
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在 搭建 无 线 局 域 网 络 时 ， 应 避免 访问 者 从 一 个 AP 的 履 盖 范围 移动 到 另外 一 个 AP 的 上 履 盖 
范围 时 与 原 无 线 AP 中 断 连 接 的 情况 发 生 。 通 常 的 做 法 是 在 无 线 AP 信号 才 盖 区 域 之 间 保 留 少 
量 的 重 登 部 分 ， 确 保 访 问 者 在 不 同 网 络 之 间 漫 游 时 始终 处 于 在 线 状 态 ， 而 不 会 发 生 连 接 断 开 现 
象 ， 做 到 无 线 网 络 的 无 缝 切换。 在 一 个 AP 有 履 盖 区 内 直 序 扩 频 技术 最 多 可 以 提供 3 个 不 重 登 的 
信道 同时 工作 。 考 虑 到 制式 的 兼容 性 ， 相 邻 区 域 频 点 配置 时 宜 选 用 1、6、11 信道 。 同 时 ，AP 
信和 号 是 直线 传播 的 ， 每 遇 到 一 个 障碍 物 ， 无 线 信 号 就 会 被 削弱 ， 因 此 在 进行 规划 时 ， 要 考 展 
AP 部 闭环 境 对 无 线 信号 的 影 啊 。 

无 线 网 络 的 用 户 接 入 主要 通过 认证 技术 及 加 密 技 术 来 保证 。 和 用 的 认证 方式 包括 802.1x 
认证 、MAC 地 址 认证 、Portal 认证 等 ， 保 证 无 线 用 户 身 份 的 安全 性 ， 同 时 结合 WEP(64/128)、 
WPA、WPA2 等 多 种 加 密 方式 保证 无 线 用 户 的 加 密 安全 性 。 

2) 参考 答案 

【问题 1】 

参考 答案 : 

(1) 一 般 有 两 种 方法 : 一 是 直接 升级 主干 网 络 带宽 。 优 点 是 效果 显著 ， 不 足 之 处 是 这 种 方 
法 投入 较 大 。 二 是 采用 以 太 网 信道 或 者 端口 聚合 技术 。 优 点 是 投入 较 小 ， 缺 点 是 使 用 该 技术 需 
要 两 端 设备 都 支持 端口 聚合 技术 ， 且 进行 端口 捆绑 的 多 个 接口 状态 必须 相同 。 

(2) 一 般 常 用 的 网 络 元 余 技 术 可 以 分 为 二 层 链 路 见 余 和 三 层 网 关 元 余 〈 包 括 设备 级 和 单 板 
级 元 余 ) 。 

【问题 2】 

(1) 如 图 7-6 所 示 ， 虚 线 为 增加 的 链 路 。 首 先 在 两 台 核 心 交 换 机 之 间 实 现 链 路 聚合 以 增加 
主干 网 络 带宽 。 其 次 按照 图 中 的 连接 方法 已 经 构成 了 二 层 环 路 ， 链 路 了 见 余 已 经 产生 ， 关 键 是 要 
把 两 台 核 心 交 换 机 定义 为 STP 的 根 桥 ;三 层 网 关 宛 余 技 术 主 要 是 做 网 关 和 备份， 因此， 需要 在 
双核 心 交 换 机 上 配置 VRRP 协议 。 最 后 为 了 减少 出 口 路 由 器 的 负担 ， 考 虑 把 服务 器 群 接 入 到 
核心 交换 机 A 或 者 B 上 。 

(2) JW 优先 级 

@) 抢占 时 间 
(8) Master 

【问题 3】 

(1) 构建 企业 无 线 网 络 为 了 减少 死角 ， 必 须 让 两 个 AP 覆盖 的 无 线 区域 有 少量 重 王 。 除 此 
之 外 , 选择 AP 时 也 要 考虑 当前 物理 环境 ， 如 果 是 空旷 的 环境 可 以 选择 使 用 放射 信号 为 球形 的 
AP 设备 ， 如 果 是 在 楼 层 中 可 以 考虑 使 用 回 某 个 区 域 放 射 信 号 的 AP 设备 。 

(2) 目前 ， 主 流 的 无 线 协议 都 是 由 IEEE 所 制定 ，IEEE 认定 的 四 种 无 线 协议 标准 分 别 为 
IEEE 802.11a、IEEE 802.1l1b、IEEE 802.11g 和 IEEE 802.11ln。 

(3) 第 一 种 ， WEP 加 密 WEP〈 有 线 对 等 保密 ) 协议 。 

第 二 种 : WPA 加 密 WPA 和 WPA2。 
第 三 种 :， WPA-PSK 加 密 WPA-PSK 和 WPA2-PSK。 
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出 口 路 由 右 
R 


服务 器 必 2 要 
SEE 让 四 和 《Ce ) 


Si 和 
核心 层 


站 折 和 和 


图 7-6 优化 后 的 企业 网 络 拓扑 图 


【问题 4】 

(1) 负载 均衡 技术 建立 在 现 有 网 络 结构 之 上 ， 它 提供 了 一 种 廉价 有 效 透明 的 方法 ， 扩 展 网 
络 设备 和 服务 器 的 带宽 ， 增 加 吞吐 量 ， 加 强 网 络 数据 处 理 能 力 ， 提 高 网 络 的 灵活 性 和 可 用 性 。 

第 二 层 的 负载 均衡 指 将 多 条 物理 链 路 当 作 一 条 单一 的 聚合 逻辑 链 路 使 用 ， 即 链 路 聚合 
技术 。 

《2) 集群 是 一 组 独立 的 计算 机 系统 构成 一 个 松 耦 合 的 多 处 理 需 系统， 它们 之 间 通 过 网 络 实 
现 进程 间 的 通信 。 应 用 程序 可 以 通过 网 络 共 享 内 存 进行 消息 传送 ， 实 现 分 布 式 计算 。 主 要 解决 
高 可 靠 性 (HA) 和 高 性 能 计算 (HP) 。 

负载 均衡 技术 提供 了 一 种 廉价 有 效 的 方法 ， 扩 展 服务 吉 带 宽 和 增加 重 吐 量 ， 加 强 网 络 数据 
理 能 力 ， 提 高 网 络 的 灵活 性 和 可 用 性 。 主 要 解决 的 是 大 量 的 并 发 访问 或 数据 流量 分 担 到 多 人 台 

点 设备 上 分 别处 理 ， 减 少 用 户 等 待 响应 的 时 间 。 


7.3.2 ”案例 2 
1. 典型 试题 


阅读 以 下 描述 ， 然 后 回答 问题 1 一 问题 4。 
菜园 区 组 网 方案 如 图 7-8 所 示 ， 数 据 规 划 如 表 7-1 内 容 所 示 。 
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设备 


FW2 


SW CS9 


SW3 


了 工 卫 


_VRRP 
E1/04 GELO/3 


NAN 


0/0 GE2/2/0/0 


“SW3 iStack 


图 7-8 


表 7-1 


对 端 接口 


GE1/O/1 = 1 1 有 104 ISP1 外 网 出 口 卫 
GEI105 |- | 2o221224 ISP2 外 网 出 口 卫 


GEI2 |- | -pl6ULU24 


GEI03 |- 
Eth-Trunk10 172.16.10.1/24 SW CSS 
忆 GEL014 EC 


GE1/0/2 


Eth-Irunk10 


GE1/O/1 1 | 呈 11304 ISP1 外 网 出 口 下 
GEI105 |- |- |2o221124 ISP2 外 网 出 口 卫 


GEI2 -| -pl6ul224 


GEL03 |- 
Eth-Trunk20 172.16.10.2/24 SW CSS 
GELOM4 oo ses 
GELIIO10 |- | vaANIF50 | 172.16.50.1124 HTTP 


GE1/1/0/0 

Eth-Irunk10 VLANIF10 | 172.16.10.3/24 
GE2/1/0/0 

Eth-Irunk20 ee VLANIF10 | 172.16.10.3/24 
GE2/1/0/ 站 

Fi 30 GE1/2/0/0 | VLANIF30 | 172.16.30.1/24 
GE2/2/0/0 | VLANIF40 | 172.16.40.1/24 


FW1 
FW2 
SVW3 
Eth-Irunk30 VLANIF30 | 172.16.30.2/24 


以 太 网 接口 |- |- jp216501024 | SwWcSS 


GE1/0/2 
Eth-Trunk20 
以 太 网 接口 


Eth-Trunk1l0 


Eth-Irunk20 


Eth-Irunk30 


Eth-ITrunk30 


GEL/L1/0/10 
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【问题 1】 

该 网 络 对 汇聚 层 交 换 机 进行 了 堆 登 ， 在 此 基础 上 进行 链 路 聚合 并 配置 接口 ， 补 充 下 列 命 令 
片段 。 

[SW3] interface (1) 

[SW3-Eth-TIrunk30] quilt 

[SW3] interface glgabltethernet 1/0/1 

[SW3-GigabitEthernetl/0O/1] eth-trunk 30 

[SW3-GigabltEthernet1/0/1] qult 

[SW3] interface glgabitethernet 2/0/1 

[SW3-GlgabitEthernet2/0O/1] eth-trunk 30 

[SW3-GlgabitEthernet2/0/1] qult 

[SW3] vlan batch (2) 

[SW3] interface eth-trunk 30 

[SW3-Eth-Trunk30] port link-type 《3 ) 

[SW3-Eth-TIrunk30] port trunk allow-pass vlan 30 40 

[SW3-Eth-Irunk30] qult 

[SW3] interface vlanlif 30 

[SW3-Vlanif30] ip address (4) 

[SW3-Vlanlf30] qult 

【问题 2】 

该 网 络 对 核心 层 交 换 机 进行 了 集群 ， 在 此 基础 上 进行 链 路 聚合 并 配置 接口 ， 补 充 下 列 命令 片段 。 

[CSS] Interface loopback 0 

[CSS-LoopBack0] ip address 3.3.3.3 32 

[CSS-LoopBack0] qult 

[CSsS] vlan batch 10 30 40 5S0 

[CSS] interface eth-trunk 10 

[CSS-Eth-Trunk10] port link-type access 

[CSS-Eth-Trunk10] port default vlan 10 

[CSS-Eth-Trunk10] quilt 

[CSS] interface eth-trunk 20 

[CSS-Eth-Trunk20] port link-type (5 ) 

[CSS-Eth-Trunk20] port default vlan 10 

[CSS-Eth-Trunk20] qult 

[CSsS] interface eth-trunk 30 

[CSS-Eth-Trunk30] port link-type (6) 

[CSS-Eth-Trunk30] port trunk allow-pass vlan 30 40 
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[CSS-Eth-TIrunk30] qult 

[CSS] interface vlanlf 10 

[CSS-Vlanif10] ip address172.16.10.3 24 

[CSS-Vlanlif10] qult 

[CSS] interface vlanlif 30 

[CS9s-Vlanlf30] 1p address 172.16.30.1 24 

[CS9S-Vlanlf30] qult 

[CSS] Interface vlanlf 40 

[CSS-Vlanif0] ip address (7) 

[CSS-Vlanlf40] quilt 

[CS9] Interface glgabltethernet1/1/0/10 

[CSs-GlgabltEthernetl1/1/0/10] port link-type access 

[CSs-GQlgabltEthernetl/1/0/10] port default vlan S0 

[CSsS-GlgabltEthernetl/1/0/10] qult 

[CSS] Interface vlanif S0 

[CSS-Vlanif$0] ip address  〈8) 

[CSS-VlanlfS0] quilt 

【问题 3】 

配置 FW1 时 ， 下 列 命令 卢 段 的 作用 是 (9) 

[FEW1] interface eth-trunk 10 

[FEW1-Eth-Trunk10] quit 

[FEW1] Interface glgabltethernet 1/0/3 

[FEW1-GQlgabitEthernet1/0/3] eth-trunk 10 

[FEW1-QligablitEthernetl1/0/3] quit 

[FEW1] interface glgabltethernet 1/0/4 

[FEW1-GQligabltEthernet1/0/4] eth-trunk 10 

[FEW1-OligabltEthernet1/0/4] quilt 

【问题 4】 

在 该 网 络 以 防火 墙 作 为 出 口 网 关 的 部 署 方式 ， 相 比 用 路 由 器 作为 出 口 网 关 ， 防 火 墙 旁 挂 的 
部 普 方 式 ， 最 主要 的 区 别 在 于 _《〈10) 

为 了 使 内 网 用 户 访问 外 网 ， 在 出 口 防 火 墙 的 上 行 配置 (11)  ， 实 现 私 网 地 址 和 公 网 地 址 
之 间 的 转换 ;在 出 口 防火 墙 上 配置 (12)_， 实 现 外 网 用 户 访问 HITP 服务 器 。 


2. 案例 分 析 及 参考 答案 


本 题 考 得 的 是 以 防火 墙 为 园区 网 出 口 的 网 络 构建 。 
以 防火 才 为 出 口 的 网 络 部 署 方案 是 将 防火 墙 作 为 出 口 安全 网 关 ， 对 出 入 园区 网 的 业务 流量 


第 7 章 “网 络 系统 分 析 与 设计 案例 “ 国 国 405 状 


提供 安全 过 滤 功 能 ， 为 网 络 安全 提供 保障 ， 该 部 署 模式 适用 于 企业 园区 网 出 口 流 量 较 小 或 者 用 
户 规模 不 大 的 园区 网 场景 。 以 防火 均 为 出 口 网 关 的 网 络 通常 包括 以 下 主要 需求 : 
e。 ” 选 路 需求 ， 业 务 流 量 在 网 络 出 口 测 可 自动 选择 出 口 ， 分 流 到 不 同 运营 商 网 络 之 中 去 ， 
避免 链 路 资源 的 当 约 。 
e。 NAT 需求 , 内 网 用 户 可 正 第 访 问 Internet 资源 ,外 网 用 户 可 以 访问 内 网 中 的 服务 器 资源 。 
e。 安全 与 可 靠 性 需求 ， 所 有 南北 流量 都 需要 经 过 安全 处 理 ， 网 络 中 链 路 或 设备 出 现 故 障 
时 ， 网 络 业 务 不 中 断 。 
【问题 1】 
本 题 考 但 的 是 基本 的 网 络 接口 配置 命令 ,通过 数据 规划 表 和 网 络 拓扑 图 对 应 关系 识别 汇聚 
层 交 换 机 的 位 置 和 各 接口 的 参数 配置 。 
参考 答案 : 
(1 ) eth-trunk 30 
(2) 30 40 
(3 ) trunk 
(4) 172.16.30.2 24 
【问题 2】 
集群 交换 机 系统 CSS (Cluster Switch System ) 是 将 两 台 支 持 集群 特性 的 交换 机 设备 组 合 在 
一 起 ， 从 逻辑 上 组 合成 一 台 交 换 设 备 。 通 过 交换 机 集群 ， 可 以 实现 网 络 的 高 可 靠 性 和 网 络 大 数 
据 量 的 转发 ,实现 简化 网 络 管理 。 由 于 集群 中 的 两 台 成 员 交 换 机 都 使 用 同一 个 卫 地 址 和 MAC， 
为 防止 集群 分 裂 后 产生 两 个 相同 的 卫 地 址 和 MAC 地 址 ， 引 起 网 络 故障 ， 必 须 进 行 耳 地 址 和 
MAC 的 神 突 检查 ， 使 用 多 主 检查 MAD 协议 。 
对 网 络 核心 层 交 换 机 进行 集群 ， 采 用 以 下 步骤 进行 : 
e。 配置 核心 交换 机 集群 ， 包 括 集群 卡 的 线 线 连 接 ; 配置 集群 连接 方式 、 集 群 ID 和 集群 
的 优先 级 ; 使 能 CSS; 重 局 核心 交换 机 , 得 看 集群 状态 ,确认 集群 系统 主 交 换 机 的 CSS 
MASTERD 灯 绿 色 常 亮 等 。 
e。 集群 配置 各 接口 多 主 检测 功能 并 查看 集群 系统 多 主 检测 详细 配置 信息 。 
e。 配置 CSS 与 FEW， 与 汇聚 交换 机 之 间 的 Eth-Trunk 和 接口 。 
e。 配置 路 由 ， 包 括 OSPF 路 由 发 布 、 缺 省 路 由 等 信息 。 
参考 答案 : 
(《$ ) acceSsSs 
(6) trunk 
(7) 172.16.40.1 24 
(8) 172.16.50.1 24 
【问题 3】 
从 网 络 拓扑 可 知 ， 配 置 的 两 个 接口 均 是 防火 墙 的 下 行 接口 ， 连 接 的 核心 层 的 集群 ， 采 用 的 
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方式 是 Eth-Trunk 方式 。 


参考 答案 : 
(9) 在 FW1 上 创建 Eth-Trunk 10， 用 于 连接 CSS， 并 加 入 Eth-Trunk 成 员 接 口 
【问题 4】 


防火 墙 在 线 部 署 也 就 是 串 接 部 署 ， 可 以 检测 也 可 以 起 到 实时 阻止 的 作用 ， 但 是 转发 会 对 大 
流量 数据 产生 延迟 。 旁 路 部 署 模 式 ， 防 火 墙 和 网 络 是 并 联 的 ， 可 以 通过 数据 镜像 后 ， 传 给 防火 
墙 审查 ， 审 查 的 数据 并 不 会 直接 影响 到 网 络 中 的 数据 。 

NAI 主要 应 用 于 内 网 用 户 访问 外 网 的 场景 , 当 内 网 用 户 上 网 时 , 通过 路 由 器 发 送 数据 包 时 ， 
私有 地 址 被 转换 成 合法 的 卫 地 址 ， 局 域 网 只 需 使 用 少量 耳 地 址 实现 私有 地 址 网 络 内 所 有 计算 
机 与 Internet 的 通信 需求 。NAT Server 应 用 于 实现 私 网 服务 器 以 公 网 卫 地 址 对 外 提供 服务 的 场 
景 。 当 内 网 部 署 了 也 是 私 网 地 址 的 服务 器 ， 公 网 用 户 通过 公 网 地 址 来 访问 该 服务 器 ， 可 以 配置 
NAT Server， 使 设备 将 公 网 用 户 访问 该 公 网 地 址 的 报 文 目 动 转发 给 内 网 服务 占 。 

参考 答案 : 

(10) 出 口 流 量 较 小 或 网 络 规模 小 

(11) NAT 

(12) NAT Server 


7.4 网 络 故 障 分 析 与 处 理 案 例 


1. 典型 试题 


阅读 以 下 摘 述 ， 然 后 回答 问题 1 一 问题 4。 

某 网 络 拓扑 结构 如 图 7-9 所 示 ,SW1、SW2 两 台 交 换 机 配置 VRRP, 其 中 SW1 配置 为 VRRP 
的 Master，SW2 配置 为 VRRP 的 Backup 设备 。SW1 与 SW2 之 间 采 用 Eth-Trunk 的 方式 互 连 。 
所 有 交换 机 均 配 置 有 管理 BVLAN10， 业 务 VLAN 按 需 求 配置 。 


NS EN 
ANE GE00/ GE00/2 六 呈 
GEU/U/1 GEO/O/ 

GEUO/U/ 


] SW4 
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【问题 1]】 
管理 员 在 查看 SW1、SW2 的 配置 ， 显 示 结 末 如 下 。 在 PC1 上 ping10.20.20.3 可 以 ping 通 。 
将 SW1 的 GEOOV1 接口 Down， 则 ping 不 通 网 关 地 址 。 从 检查 情况 看 ， 网 络 中 存在 哪些 故障 。 


<SW1>display vrrp brief 

VRID 9tate Interface Type Virtual IP 
10 Master Vlanlfl10 Normal 10.10.10.3 
20 Master Vlanlf20 Normal ”10.20.20.3 
省 Master Vlanif30 Normal ”10.30.30.3 


Total:3 Master:3 Backup:0 Non-active:0 


<SW2>display vrrp brief 

VRID State Interface Type Virtual IP 
10 Backup Vlanlf10 Normal ”10.10.10.3 
20 Master Vlanlf20 Normal ”10.20.20.3 
| Master Vlanif30 Normal ”10.30.30.3 


Total:3 Master:2 Backup:1 Non-actlve:0 

【问题 2 】 

管理 员 查 看 了 SW1、SW2 上 的 相关 VLAN 的 VRRP 信息 ， 绪 果 如 下 所 示 。 进 一 步 查 看 了 
相关 的 统计 人 信息， 发现 SW1 和 SW2 的 Vlanif20 和 Vlanif30 只 有 发 送 的 vrrp_ advertisements 报 
文 ， 没 有 收 到 的 vrrp advertisements 报 文 。 该 检查 结果 是 否 正 常 ， 为 什么 ? 


<SW1>dis vrrp Interface Vlanlf 20 
Vlanlf20 | Virtual Router 20 
State : Master 
Virtual IP : 10.20.20.3 
Master IP : 10.20.20.1 
PriorityRun : 1S0 
PriorltyConfig : 130 
MasterPriorlty : 130 
Preempt :YES ”Delay Time :0s 
TimerRun : 1s 
TimerConfig : 1 s 
Auth type : NONE 
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Virtual MAC : 0000-1le00-0112 
Check ITIL : YEs 
Config type : normal-vrrp 
Create tme : 2018-12-12 08:08:13 UTC-08:00 
Last change tme : 2018-12-12 10:30:22 UTC-08:00 


<SW1>dls vrrp Interface Vlanlf 30 
Vlanlf30 | Virtual Router 30 
State : Master 
Virtual IP : 10.30.30.3 
Master IP : 10.30.30.1 
PriorityRun : 130 
PriorityConfig : 130 
MasterPriorlty : 130 
Preempt :YES ”Delay Time :0 
TimerRun : 1 s 
TimerConflg : 1s 
Auth type : NONE 
Virtual MAC : 0000-1le00-0422 
Check TIL : YES 
Config type : normal-vrTrp 
Create ttme : 2018-12-12 08:10:26 UTC-08:00 
Last change ttme : 2018-12-12 10:33:16 UTC-08:00 


<SW2>dlisplay vIrrp interface Vlanlf 20 
Vlanlf20 | Virtual Router 20 
Ntate : Master 
Virtual IP : 10.20.20.3 
Master IP : 10.20.20.2 
PriorityRun : 100 
PriorlityConflig : 100 
MasterPriorlty : 100 
Preempt :YES ”Delay TIime :0s 
TimerRun :1s 
TimerConfig :1s 
Auth type : NONE 
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Virtual MAC : 0000-1e00-0112 
Check 工 I 工 :YEs 
Config type : normal-vrrp 
Create time : 2018-12-12 09:42:22 UTC-08:00 
Last change ttme : 2018-12-12 10:33:16 UTC-08:00 


<SW2>dlisplay vrrp Interface Vlanlf30 
Vlanlf30 | Virtual Router 30 
Ntate : Master 
Virtual IP : 10.30.30.3 
Master IP : 10.30.30.2 
PriorltyRun : 100 
PriorityConflig : 100 
MasterPriorlty : 100 
Preempt : YES ”Delay Time :0s 
TimerRun : 1 sS 
TimerConfig : 1s 
Auth type :NONE 
Virtual MAC : 0000-1e00-0422 
Check TIL :YES 
Config type : normal-vrrp 
Create ttme : 2018-12-12 09:$9:30 UTC-08:00 
Last change ttme : 2018-12-12 11:33:24 UTC-08:00 
【问题 3】 
管理 员 碍 看 了 所 有 交换 机 之 间 的 互 连 链 路 配置 情况 ， 结 果 如 下 所 示 。 分 析 检 碍 结果 命令 组 
1 与 命令 组 2 并 说 明 互 连 链 路 的 配置 是 否 影响 网 络 畅通 。 
命令 组 1: 
<SW1>display current-configuration interface Eth-Trunk 1 
共 
Interface Eth-TIrunkl 
port link-type trunk 
port trunk allow-pass vlan 10 
<SW2>display current-configuration Interface Eth-Irunk 1 
他 
Interface Eth-TIrunkl 
port lnk-type trunk 
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port trunk allow-pass vlan 10 
天 
命令 组 2: 
<SW1>display current-configuration Interface gO/O/ 
## 
Interface OilgablitEthernetO/O/1 
description TO-SW3 /表示 该 接口 互 连 的 对 端 设 备 是 SW3 
port link-type trunk 
port trunk allow-pass vlan 10 20 
于 
return 
<SW1>display current-configuration Interface g0O/0/2 
扩 
Interface GlgabltEthernetO/0/2 
description TO-SW14 
port link-type trunk 
port trunk allow-pass vlan 10 30 


<SW2>display current-configuration Interface gO/O/ 
时 
interface GOlgabltEthernetO/O/1 
description TO-SW14 
port link-type trunk 
port trunk allow-pass vlan 10 30 
return 
<SW2>display current-configuration Interface g0/0/2 
革 
Interface GOlgabltEthernetO/O/2 
description TO-SW3 
port link-type trunk 
port trunk allow-pass vlan 10 20 


<SW3>dlisplay current-configuration Interface eO/O/1 
革 
Interface EthernetO/O/1 
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descriptlon TO-SW1 
port link-type trunk 
port trunk allow-pass vlan 10 20 
革 
return 
<SW3>display current-configuration Interface eO/0/2 
已 
Interface Ethernet0/0/2 
description TO-SW2 
port link-type trunk 
port trunk allow-pass vlan 10 20 
于 
[SW4]display current-configuration Interface eO/O/1 
于 
Interface EthernetO/O/1 
description TO-SW2 
port link-type trunk 
port trunk allow-pass vlan 10 30 
开 
retuIn 
[SW4]display current-configuration interface e0/0/2 
下 
Interface Ethernet0/0/2 
description TO-SW1 
port l]ink-type trunk 
port trunk allow-pass vlan 10 30 
下 


return 


【问题 4】 
由 于 SW3、SW4 和 SW1、SW2 之 间 通 过 双 上 行 组 成 了 环形 网 络 , 所 以 网 路 中 开局 了 MSTP 
来 防止 环 路 。 管 理 员 通过 如 下 配置 检查 ， 可 以 得 出 什么 结论 ， 处 理 该 故障 的 方法 思路 是 什么 ? 


<SW3>dlisplay stp brlef 

MSTID Port Role SITP State Protection 
0 EthernetO/O/ ROOT “FEORWARDING NONE 
0 EthernetO/0O/2 ALIE ”DISCARDING NONE 


0 Ethernet0O/0/22 DESI FORWARDING NONE 
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<SW4>display stp brief 
MSTID PortRole SITP State Protectlon 
0 Ethernet0O/0O/1 ALTE DISCARDING NONE 
0 Ethernet0/0/2 ROOT ”FORWARDING NONE 
0 Ethernet0/0/22 DESI FORWARDING NONE 
2. 案例 分 析 及 参考 答案 
1) 案例 分 析 
迅速 定位 并 排除 网 络 故障 是 网 络 规划 设计 师 必 须 具 备 的 能 力 之 一 。 本 案例 主要 考查 以 下 知 
识 点 : 


(1) 生成 树 协 议 。 生 成 树 协 议 是 一 种 链 路 管理 协议 ， 它 为 网 络 提 供 路 径 兄 余 ， 同 时 防止 产 
生 环 路 。 为 使 以 太 网 更 好 地 工作 ， 两 个 工作 站 之 间 只 能 有 一 条 活动 路 径 。 网 络 环 路 的 产生 有 多 
种 原因 ， 最 常见 的 一 种 是 链 路 或 设备 的 元 余 ， 为 了 防止 出 现 一 条 链 路 或 一 台 交 换 机 的 单 点 失效 
问题 ， 在 网 络 建设 时 往往 部 署 有 宛 余 的 链 路 和 交换 机 。 

生成 树 协 议 允 许 网 桥 之 间 相 互通 信 以 发 现 网 络 物理 环 路 。 该 协议 定义 了 一 种 算法 ， 网 桥 能 
够 使 用 它 创 建 无 环 路 〈Loop-Free) 的 逻辑 拓扑 结构 。STP 创建 了 一 个 由 无 环 路 树叶 和 树枝 构成 
的 树 结 构 ， 其 跨越 了 整个 第 二 层 网 络 。 

由 于 局 域 网 内 所 有 的 VLAN 共享 一 棵 生成 树 无 法 在 VLAN 间 实 现 数 据 流 量 的 负载 均衡 ， 
链 路 被 阻塞 后 将 不 承载 任何 流量 ， 还 有 可 能 造成 部 分 VLAN 的 报 文 无 法 转发 。 为 了 弥补 STP 
缺陷 ，IEEE 于 2002 年 发 布 的 802.1$ 标准 定义 了 MSTP。MSTP 兼容 STP， 既 可 以 快速 收敛 ， 
又 提供 了 数据 转发 的 多 个 元 余 路 径 ， 在 数据 转发 过 程 中 实现 VLAN 数据 的 负载 均衡 。 

(2) 以 太 网 链 路 聚合 Eth-Trunk。 通 过 将 多 条 以 太 网 物理 链 路 捆绑 在 一 起 成 为 一 条 还 辑 链 
路 ， 从 而 实现 增加 链 路 带宽 的 目的 ， 这 些 捆绑 在 一 起 的 链 路 通过 相互 间 的 动态 备份 ， 可 以 有 效 
地 提高 链 路 的 可 靠 性 。 链 路 聚合 技术 主要 有 以 下 三 个 优势 : 

e。 增加 带宽 。 链 路 聚合 接口 的 最 大 带宽 可 以 达到 各 成 员 接口 带宽 之 和 。 

e。 ”提高 可 靠 性 。 当 某 条 活动 链 路 出 现 故障 时 ， 流 量 可 以 切换 到 其 他 可 用 的 成 员 链 路 上 ， 

从 而 提高 链 路 聚合 接口 的 可 靠 性 。 

e。 负载 分 担 。 在 一 个 链 路 聚合 组 内 ， 可 以 实现 在 各 成 员 活 动 链 路 上 的 负载 分 担 。 

当 二 层 网 络 中 的 交换 设备 划分 到 不 同 的 VLAN 中 ， 为 了 保证 不 同 VLAN 间 的 用 户 正常 通 
信 ， 需 要 在 三 层 设备 与 二 层 设备 相连 的 Eth-Trunk 接口 上 创建 子 接口 与 下 游 用 户 的 VLAN 分 别 
对 应 ， 并 在 子 接口 上 配置 卫 地 址 。 

(3) VLAN 概念 。VLAN 也 称 为 虚拟 局 域 网 ， 是 指 在 交换 局 域 网 的 基础 上 上， 构建 的 可 踊 越 
不 同 网 段 、 不 同 网 络 的 端 到 端 逻 辑 网 络 。 一 个 VLAN 组 成 一 个 逻辑 子 网 ， 即 一 个 逻辑 广播 域 ， 
它 可 以 覆盖 多 个 网 络 设 备 ， 人 允许 处 于 不 同 地 理 位 置 的 网 络 用 户 加 入 到 一 个 逻辑 子 网 中 。 

4) 虚拟 路 由 宛 余 协 议 VRRP。 通 过 把 几 台 路 由 设备 联合 组 成 一 台 虚 拟 的 路 由 设备 ， 将 虚 
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拟 路 由 设备 的 耳 地 址 作为 用 户 的 默认 网 关 实 现 与 外 部 网 络 通信 。 当 网 关 设 备 发 生 故 障 时 , VRRP 
机 制 能 够 选举 新 的 网 关 设 备 承 担 数 据 流 量 ， 从 而 保障 网 络 的 可 靠 通 信 。VRRP 协议 中 定义 了 三 
种 状态 : 初始 状态 、 活 动 状态 、 备 份 状 态 。 其 中 ， 只 有 处 于 Master 状态 的 设备 才 可 以 转发 那些 
发 送 到 虚拟 卫 地 址 的 报 文 。VRRP 的 工作 过 程 如 下 : 
e。 路 由 器 使 能 VRRP 功能 后 ， 会 根据 优先 级 确定 自己 在 备份 组 中 的 角色 。 优 先 级 高 的 路 
由 器 成 为 Master 路 由 器 , 优先 级 低 的 成 为 Backup 路 由 器 .Master 路 由 器 定期 发 送 VRRP 
通告 报 文 ， 通 知 备份 组 内 的 其 他 路 由 器 自己 工作 正常 ， Backup 路 由 器 则 启动 定时 器 等 
竺 通告 报 文 的 到 来 。 
e。 ”在 抢占 方式 下 ， 当 Backup 路 由 器 收 到 VRRP 通告 报 文 后 ， 会 将 自己 的 优先 级 与 通告 
报 文 中 的 优先 级 进行 比较 。 如 果 大 于 通告 报 文中 的 优先 级 ， 则 成 为 Master 路 由 器 ; 否 


则 将 保持 Backup 状态 。 
e。 如果 Master 设备 出 现 故 障 ，VRRP 备份 组 中 的 Backup 设备 将 根据 优先 级 重新 选举 新 
的 Master。 


e。 在 非 抢 占 方式 下 ， 只 要 Master 路 由 吉 没 有 出 现 故障 ， 备 份 组 中 的 路 由 器 始终 保持 Master 或 
Backup 状态 ，Backup 路 由 器 即使 随后 被 配置 了 更 高 的 优先 级 也 不 会 成 为 Master 路 由 器 。 

在 VRRP+STP 场景 中 ，SW1 和 SW2 上 配置 VRRP 备份 组 。 大 与 用 户 相 连 的 Switch 不 能 
转发 VRRP 协议 报 文 ， 比 如 配置 了 未 知 组 播 丢 大 ， 或 者 为 了 防止 VRRP 协议 报 文 所 经 过 的 链 路 
不 通 或 不 稳定 ， 可 以 在 SW1 和 SW2 之 间 部 署 心跳 线 ， 用 于 传递 VRRP 协议 报 文 。 由 于 配置 了 
心跳 线 之 后 ， 需 要 将 接口 加 入 与 VRRP 备份 组 相对 应 的 YLAN，SW1 和 SW2 和 互 连 交 换 机 之 
间 会 存在 环 路 ， 因 此 需要 配置 STP 协议 来 破除 环 路 。 

2) 参考 答案 

【问题 1】 

通过 检测 结果 可 知 ，SW1、SW2 上 VlaniP0、VlanifPP1l 对 应 的 VRRP 状态 都 为 Master， 两 
者 同 为 Master 状态 不 正确 ; 当 SW1 的 GO/O/1 接口 Down 后 PC2 无 法 与 网 关 通 信 ， 说 明 双 上 行 
链 路 几 余 没有 起 效 ， 存 在 链 路 配置 故障 。 

【问题 2】 

管理 员 查 看 了 SW1、SW2 上 的 相关 VLAN 的 VRRP 信息 ， 结 果 正 常 ， 说 明 VRRP 配置 正 
常 ， 但 是 通过 display vrrp statistics 分 别 在 SW1 和 SW2 上 查看 Vlanif20、Vlanif30 的 统计 信息 
只 有 发 送 的 vrrp advertisements 报 文 , 没 有 收 到 的 rrp advertisements。 正 党 情况 下 SW2 作为 backup 
设备 应 该 有 收 到 的 vrrp_ advertisements， 所 以 可 能 存在 某 种 原因 导致 vrrp advertisements 报 文 无 
法 正 利 传 递 。 

【问题 3】 

命令 组 1 说 明 SW1 与 SW2 之 间 的 互 连 链 路 只 允许 VLAN10 通 过 ,所 以 Vlanif20 与 Vlanif30 
的 vrrp advertisements 报 文 无 法 通过 该 链 路 传递 。 

命令 组 2 说 明 SW3、SW4 分 别 与 SW1、SW2 互 连 链 路 配置 没 问 题 ， 透 传 了 相应 的 vlan， 
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所 以 Vlanif20 与 Vlanif30 的 vrrp advertisements 报 文 能 通过 该 互 连 链 路 传递 。 

【问题 4】 

网 路 中 开局 了 MSTP 防止 环 路 阻 断 了 相应 的 接口 ，vrrp advertisements 报 文 无 法 传递 。 分 别 
在 SW3 和 SW4 上 通过 display stp brief 查看 STP 的 端口 阻塞 情况 ， 从 反馈 信息 看 ， 是 SW3 的 
Ethernet0/0/2 和 SW4 的 EthernetO/OV1 口 处 于 阻塞 状态 ，vrrp advertisements 无 法 传递 导致 VRRP 
状态 不 正 稍 。 

该 网 络 是 环 状 网 络 不 能 关闭 生成 树 协议 ， 可 以 分 别 在 SW1 和 SW2 上 的 Eth-Trunk 接口 透 
传 VLAN 20、VLAN 30 使 vrrp advertisements 报 文 能 正常 通过 ， 又 不 影响 生成 树 的 使 用 。 


7.5 网 络 安 全 部 署 案例 


1. 典型 试题 


阅读 以 下 描述 ， 然 后 回答 问题 1 一 问题 4。 
某 政 府 部 门 网 络 用 户 包 括 有 线 网 络 用 户 、 无 线 网 络 用 户 和 有 线 摄像 头 大 和 干 ， 组 网 拓扑 如 图 
7-10 所 示 ， 网 络 接口 规划 与 VLAN 规划 内 容 如 表 7-2、7-3 所 示 。 


局 


AP 控制 大 


GE0/0/3 


SwltchA GE1/0O/1 
GEO/0/8 


GEO/O/11 


中 GE0/0/13 GELO[0O SS CELO2 


GE0O/0/S 


sn 


忆 GE0/0/3 
业务 服务 器 区 GEO/O/1 Web 服 务 器 
GE0O/0/5 GEO/0/5 Sn 
邮 SwitchB 
GE0O/0/3 GE0/0/3 
((?)) 
摄像 头 接 人 办 公 区 域 接 人 管理 区 域 接 人 


人 
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表 7-2 网 络 接口 规划 


设备 名 接口 编号 IP 地 址 


SwitchC GE0/0/3 101、102、103、103 - 


GE0/0113 
SwitchD GE0/015 
GE0013 


表 7-3 VLAN 规划 

项 目 描 
VLAN100: 无 线 管 理 VLAN 
VLAN101: 访客 无 线 业 务 VLAN 
VLAN102: 员工 无 线 业 务 VLAN 
VLAN103: 员工 有 线 业务 VLAN 
VLAN104: 摄像 头 的 VLAN 
VLAN105:， AP 所 属 VLAN 
VLAN107: 对 应 VLANIF 接口 上 行 防 火 墙 
VLAN108: 业务 区 接 入 VLAN 


接口 编号 
GE |- olorl2z24 
防火 墙 GE | -oull24 
GE |- |10l061L124 
AP 控制 器 VLANIF100:10.100.1.2/24 
VLANIF105:10.105.1.1/24 
104 VLANIF104:10.104.1.1/24 
GE0/0/5 101、102、103、105 VLANIF101:10.101.1.1/24 
品 科 VLANIF102:10.102.1.1/24 
VLANIF103:10.103.1.1/24 
VLANIF100:10.100.1.1/24 
VLANIF108:10.108.1.1/24 
VLANIF107:10.107.1.2/24 
GE005 
GE00o3 
GE003 
GE005 
GEool3 


Sa 


VLAN 规划 


访客 通过 无 线 网 络 接 入 互联 网 ， 不 能 访问 办 公 网 络 及 管理 网 络 ， 摄 像 头 只 能 跟 DMZ 区 域 
服务 髓 互 访 。 

【问题 1 】 

进行 网 络 安全 设计 ， 补 充 防 火 墙 数据 规划 表 7-4 内 容 中 的 空缺 项 。 
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表 7-4 防火 墙 数 据 规划 表 


安全 策略 目的 地 址 /区 域 
egress trust - 
dmz camera 10.104.1.1/24 
untrust_ dmz ntst |umz | olo61U724 
TO 人 
源 net 策略 camera_dmz GD 


备注 NAT 策略 转换 方式 为 地 址 池 中 地 址 ， 卫 地 址 109.1.1.2。 


【问题 2】 
进行 访问 控制 规则 设计 ， 补 充 Switch A 数据 规划 表 7-$ 内 容 中 的 空缺 项 。 


表 7-$ Switch A 数据 规划 表 


再 
5 
本 


1 


iolo4l0000255 | CO | 
【问题 3】 
补充 路 由 规划 内 容 ， 填 写 表 7-6 中 的 空缺 项 。 


表 7-6 路 由 规划 表 
设备 名 描述 
本 机 访问 访客 无 线 终端 的 路 由 
访问 摄像 头 的 路 由 
SwitchA 缺 省 路 由 
AP 控制 器 缺 省 路 由 


【问题 4】 

配置 SwitchA 时 ， 下 列 命 令 片 段 的 作用 是 _〈12) 

[SwitchA] Interface Vlanif 105 

[SwltchA-Vlanlf105] dhcp server option 43 Sub-option 3 ascll 10.100.1.2 
[SwitchA-Vlanif10S] qult 


2. 案例 分 析 及 参考 答案 
本 题 考 查 的 是 区 、 县 行政 单位 的 网 络 安全 部 署 配置 方案 。 


网 络 设计 采用 树 形 组 网 ， 包 含 接 入 层 、 核 心 层 、DMZ 服务 器 和 防火 墙 出 口 。 
该 网 络 提供 无 线 覆 盖 ， 无 线 网 络 主要 给 办 公用 户 和 访客 提供 网 络 接 入 Intermnet， 其 中 录 公 
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用 户 SSID 采用 预 共 享 密 钥 的 方式 接 入 无 线 网 络 ， 访 客 SSID 采用 OPEN 方式 接 入 无 线 网 络 。 
AP 控制 器 部 署 直接 转发 模式 ，AP 三 层 上 线 。SwitchA 作为 DHCP Server， 为 AP 和 无 线 终 疹 分 
配 JP 地 址 。 

该 网 络 的 有 线 接 入 主要 给 员工 提供 网 络 接 入 Internet， 有 线 用 户 不 需要 认证 。SwitchA 交换 
机 是 有 线 终端 的 网 关 ， 同 时 也 是 有 线 终端 的 DHCP Server， 为 有 线 终 冰 分 配 卫 地 址 。 

在 安全 性 需求 方面 ， 该 网 络 保护 管理 区 的 数据 安全 ， 在 SwitchA 部 署 ACL 控制 用 户 转 发 
权限 ， 使 得 访客 无 线 用 户 只 能 访问 Internet， 不 允许 访问 其 他 内 部 资源 。 在 SwitchA 部 署 ACL， 
控制 摄像 头 只 能 和 DMZ 区 的 服务 右 互 访 。 在 防火 场 上 配置 安全 策略 , 控制 DMZ 区 服务 右 的 访 
问 权 限 。 

防火 墙 上 承载 网 络 出 口 业 务 ，DMZ 区 的 服务 器 开放 给 公 网 访问 。 

【问题 1 】 

本 题 中 要 根据 题 中 的 说 明 给 出 相应 的 源 地 址 /区 域 或 者 目的 地 址 /区 域 。 防 火 墙 策略 中 
egress 策略 需要 给 出 访问 外 网 的 终端 地 址 ， 通 过 表 7-2 可 知 相 关 VLAN 分 别 是 101、102、103、 
108。 

防火 墙 策略 中 源 net 策略 egress 的 含义 是 在 防火 墙 上 做 NAT, 地 址 池 中 地 址 使 用 109.1.1.2， 
目的 任意 。 

防火 墙 策略 中 源 net 策略 camera_dmz 的 含义 是 摄像 头 可 以 访问 DMZ。 

参考 答案 : 

(1) 10.101.1.1/24;，10.102.1.1/24;，10.103.1.1/24;，10.108.1.1/24 

2) any 

(3 ) dmz 

【问题 2】 

在 SwitchA 上 做 访问 控制 ， 从 表 7-2、 表 7-3 可 知 ， 访 客 对 内 网 段 均 无 访问 权限 。 摄 像 头 
所 属 VLAN 可 以 通过 防火 墙 访 问 服务 器 ， 不 能 访问 其 他 内 网 区 域 。 

参考 答案 : 

(4) 10.101.1.0/0.0.0.255 

($) 丢弃 

(6) 通过 

7) any 

【问题 3】 

在 防火 墙 的 配置 中 ， 首 先 配 置 上 行 接口 地 址 ， 所 属 安全 区 域 是 untrust。 接 下 来 配置 下 
行 接口 ， 分 别 是 trust 区 域 和 dmz 区 域 对 应 的 下 行 接口 地 址 。 接 下 来 配置 安全 策略 ， 其 中 源 
PP 对 应 的 访客 网 段 和 摄像 头 网 段 的 下 一 跳 都 是 指 同 防火 场 trust 区 域 的 接口 地 址 。 

AP 控制 堪 网 关 是 10.100.1.1， 因 此 默认 路 由 的 下 一 跳 是 10.100.1.1。 
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参考 答案 : 

8) 10.101.1.0/233.233.234.0 

《9) 10.104.1.0/233$.233.234.0 

(10) 0.0.0.0/0.0.0.0 

(11) 10.100.1.1 

【问题 4】 

使 用 dhcp server option 命令 用 来 配置 当前 接口 的 DHCP 地 址 池 的 目 定 义 选 项 。 配 置 命令 
option 43 sub-option 3 ascii 10.100.1.2。 其 中 ，sub-option 3 为 固定 值 ， 代 表 子 选项 类 型 ，hex 
31302E3130302E312E32 与 ascii 10.100.1.2 分 别 是 AC 地 址 10.100.1.2 的 HEX 格式 和 ASCI 格式 。 

参考 答案 : 

(12) 为 AP 接 入 地 址 池 指 定 AP 控制 器 《〈AC) 的 卫 
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8.1 与 作 范 围 要 求 


《网 络 规划 设计 师 考 试 大 网》 中， 要 求 考生 根据 试卷 上 给 出 的 若干 个 论文 题目 ， 选 择 其 中 
一 个 题目 ， 按 照 规定 的 要 求 撰写 论文 。 论 文 涉 及 的 内 容 如 下 。 


1. 网 络 技术 应 用 与 对 比分 析 


要 求 进 行 系统 的 规划 与 设计 ， 涉 及 的 技术 包含 : 
。 ”交换 技术 类 ; 

。 路 由 技术 头 ; 

。 网 络 安全 技术 类 ; 

。 服务 髓 技术 类 ; 

。 存储 技术 类 。 


2. 网 络 技术 对 应 用 系统 建设 的 影响 


进行 基于 网 络 系统 的 应 用 系统 集成 ， 包 含 领域 有 : 
e。 ”网络 计算 模式 ; 

e。 应 用 系统 集成 技术 ; 

e。 了 P2P 技术 ; 

e。 容 灾 备份 与 灾难 恢复 ; 

e。 ”网络 安全 技术 ; 

e。 基于 网 络 的 应 用 系统 开发 技术 。 


3. 专用 网 络 需求 分 析 、 设 计 、 实 施 和 项 目 管理 


基于 特定 网 络 ， 选 择 设计 技术 ， 制 定 方案 ， 包 含 内 容 如 下 : 
e 工业 网 络 ; 

e 电子 政务 网 络 ; 

e。 电子 商务 网 络 ; 

e。 保密 网 络 ; 

。 ”无线 数字 城市 网 络 ; 
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e。 应 急 指 挥 网 络 ; 
e。 视频 监控 网 络 ; 
e。 ， 机房 工 程 ; 
e。 数据 中 心 。 


4. 下 一 代 网 络 技术 分 析 


当前 流行 的 网 络 技术 ， 比 如 ; 

e TIPv0; 

e。 ”全 光 网 络 ; 

e。 SG、IoT、WMN、WSN、MANET 等 无 线 网 络 ; 
e。 多 网 融合 。 


8.2 ”论文 考试 难 的 原因 及 其 对 这 


论文 写作 部 分 相对 于 其 他 部 分 来 说 要 难 一 些 。 因 为 论文 写作 是 对 应 考 者 综合 能 力 的 检测 ， 
而 应 考 者 往往 因为 以 下 这 些 原 因 ， 使 得 合 能 力 比 较 从 缺 : 

(1) 考试 范围 太 广 ， 许 多 知识 没有 接触 过 ; 

(2) 技术 方面 掌握 不 扎实 ， 基 础 不 牢 ; 

(3) 没有 从 事 过 网 络 规划 设计 ; 

44) 缺乏 网 络 规划 设计 项 目 实战 经 验 ; 

(5) 长 期 从 事 茶 一 个 方面 的 工作 ， 很 少 从 事 全 面 的 网 络 规划 设计 合 性 的 工作 ; 

《6) 有 项 目 经 验 但 论文 号 作 水 平 有 限 ， 无 法 准确 完整 地 表达 目 己 的 观点 ; 

7) 对 考试 的 论文 写作 要 求 不 了 解 。 

对 于 这 些 问 题 ， 要 想 考 斌 过关， 需要 注意 以 下 几 点 : 

《1) 要 尽量 以 充裕 的 时 间 来 应 考 ; 

(2) 要 熟悉 考试 论文 的 写作 格式 及 注意 事项 ， 

(3) 掌握 一 定 的 论文 写作 技巧 ; 

《4) 需要 阅读 大 量 的 资料 来 充实 自己 ; 

45) 在 考试 之 前 做 适当 的 练习 。 


8.3 ”论文 的 格式 与 写作 技巧 


1. 格式 要 求 
网 络 规划 设计 师 的 论文 不 同 于 在 学 术 杂 志 上 发 表 的 学 术 论 文 ， 也 不 同 于 学 校 的 毕业 论文 ， 


第 8 章 “网 络 规划 与 设计 论文 “ 国 上 421 装 


它 主 要 是 对 网 络 规划 设计 中 某 些 方面 的 技术 和 项 目 表 达 自 己 的 观点 、 思 路 、 解 决策 略 等。 因此 
在 格式 上 的 要 求 也 比较 简单 。 

论文 书写 要 注意 以 下 要 求 : 

(1) 达到 篇 幅 要 求 ; 

(2) 不 要 在 论文 中 出 现 过 多 的 图 表 ， 尽 量 用 文字 表述 ; 

(3) 尽量 保持 卷 面 整洁 ， 如 果 确 实 需 要 划 挤 文字 ， 在 字 上 画 一 横 线 即 可 ; 

(4) 不 必 与 关键 词 。 


2. 论文 选 题 
在 进行 论文 写作 前 ， 先 把 几 个 论文 试题 快速 浏览 。 为 了 照顾 大 多 数 考 生 的 情况 ， 论 文 题目 


会 比较 宽泛 。 选 择 目 己 最 容易 发 挥 、 最 擅长 的 方 丫 的 论题 。 论 文 题目 选 定 后 就 不 要 犹豫 ， 中 途 
换 题 会 当 费 很 多 时 间 。 


3. 论文 提纲 


选 定论 题 后 不 要 急于 动笔 直接 在 答题 纸 上 写 作 。 因 为 直接 写作 很 难 有 一 个 整体 的 思路 ， 而 
且 在 写作 的 过 程 中 可 能 会 因 涂 改 而 使 卷 面 不 整洁 ， 影 啊 评 卷 人 的 心理 。 不 提倡 在 草稿 纸 上 书 写 
论文 再 抄 至 论文 答题 纸 上 ， 因 为 考试 的 时 间 本 来 就 十 分 有 限 ， 抄 写 论 文 也 需要 较 多 时 间 。 不 妨 
先 花 点 时 间 理 理 写 作 的 思路 ， 在 草稿 纸 上 写 出 论文 的 提纲 ， 所 谓 “ 厅 刀 不 误 砍 兴 工 ”。 


4. 正文 写作 


有 了 提纲 ， 写 正文 就 轻松 多 了 。 正 文 可 采用 “总 -分 -总 ” 式 ， 即 文章 开头 提出 中 心思 想 ， 
再 分 述 论 点 ， 最 后 在 结尾 处 做 出 总 结 ， 也 可 采用 “提出 问题 -分 析 问 题 -解决 问题 ”的 逐步 深入 
的 方法 。 写 作 时 注意 以 下 几 个 方面 的 技巧 : 

《1) 看 清 题目 中 给 出 的 要 点 ， 抓 住 要 氮 进行 论述 ， 内 容 要 切 题 ， 紧 素 围 纸 看 试题 指定 的 范 
围 号 作 ， 不 要 离 题 发 挥 写 过 多 无 关 的 内 容 ， 不 要 给 人 以 拼凑 论文 的 感觉 ， 

(2) 理论 联系 实际 ， 要 有 充实 的 具体 内 容 ， 切 已 空谈 理论 ; 

3) 论点 要 正确 ， 合 乎 工程 实践 的 实际 情况 ; 

《4) 要 注重 逻辑 性 和 条 理性 ， 有 事实 作为 依据 ， 力 求 要 有 说 服 力 ， 条 理 清 晰 ， 前 后 呼应 ， 
不 能 出 现 目 相 有 盾 的 情况 ; 

(5) 要 突出 所 涉及 的 项 目 是 你 自己 的 杀身 经 历 ， 语 气 要 自信 ， 要 有 自己 的 观点 与 见解 ; 

《6) 遇 到 过 的 问题 和 解决 这 些 问题 的 措施 或 案 略 应 当 有 共 体 化 ， 是 很 现实 可 信 的 ; 

《7) 采取 措施 的 效 末 ， 要 求 比 较 突 出 ， 切 实 可 行 ; 

《8) 需要 进一步 改进 的 地 方 和 如 何 进 行 改 进 ， 要 求 写 得 比较 明确 ， 不 能 很 含糊 ; 

《9) 论点 清晰 ， 最 好 每 段 在 开头 处 或 结尾 处 点 明 论 点 ; 

(10) 可 以 采用 分 条 叙述 的 方式 ， 但 不 要 全 文 用 此 方式 ; 

(11) 不 必 列 举 过 多 的 计算 公 云 ; 
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(12) 文章 要 带 有 一 定 的 学 术 性 。 
5. 复查 论文 


复查 论文 主要 是 检查 论文 是 否 通顺 、 有 无 遗漏 、 有 无 错别字 。 注 意 以 下 几 点 : 
(1) 卷 面 要 保持 整洁 ; 

(2) 格式 整齐 ， 字 迹 工 整 ; 

(3) 在 时 间 不 够 的 情况 下 力求 写 完 论文 ， 切 总 有 头 无 尾 。 


8.4 论文 试题 与 评分 案例 


8.4.1 “试题 举例 


论 网 络 虚 拟 化 技术 在 企业 网 络 中 的 设计 与 应 用 

随 者 互联 网 应 用 的 快速 发 展 ， 企 业 数 据 中 心 的 服务 器 、 路 由 器 、 交 换 机 、 存 储 系 统 等 基础 设 
施 的 规模 越 来 越 庞大 ， 管 理 维护 成 本 和 难度 也 随 之 增加 。 采 用 虚拟 化 技术 将 这 些 庞大 的 基础 设施 和 
资源 进行 整合 ， 组 成 多 个 罗 辑 实体 ， 实 现 弹性 管理 和 集约 化 管理 ， 有 效 降低 管理 维护 成 本 和 难度 。 

请 围绕 “ 论 网 络 虚 拟 化 技术 在 企业 网 络 中 的 设计 与 应 用 ”论题 ， 依 次 对 以 下 三 个 方面 进行 论述 。 

1. 简要 论述 网 络 虚 拟 化 技术 及 其 在 企业 网 络 中 的 应 用 需求 和 必要 性 。 

2. 详细 叙述 你 参与 设计 和 实施 的 虚拟 化 企业 网 络 规划 与 设计 方案 , 包括 项 目 整体 规划 、 网 
络 拓扑 、 便 件 设 备 及 软件 选 型 以 及 工程 的 预算 与 造价 等 。 

3. 结合 你 所 参与 实施 的 项 目 ， 分 析 在 企业 网 络 中 使 用 网 络 虚拟 化 技术 的 优 缺 点 。 


8.4.2 ”写作 要 点 


1. 论述 网 络 虚 拟 化 技术 及 其 在 企业 网 络 中 的 应 用 需求 和 必要 性 。 

2. 和 要 叙述 参与 设计 和 实施 的 虚拟 化 企业 网 络 规划 与 设计 方案 ， 包 括 : 
e。 项 目 整 体 规划 ; 

e 网 络 拓扑 ; 

e。 便 件 设备 及 软件 选 型 ; 

e。 工程 的 预算 与 造价 。 

3. 使 用 网 络 虚 拟 化 技术 的 企业 网 络 性 能 分 机， 包括 : 

e。 使 用 网 络 虚 拟 化 扩 术 的 优 缺 点 ; 

e。 使 用 网 络 虚 拟 化 技术 的 性 能 。 


8.4.3 ”评分 标准 
1. 切合 题 意 的 评判 〈 满 分 4$ 分 ) 。 要 点 及 得 分 情况 如 下 表 所 示 。 
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序号 得 分 
描述 设计 和 实施 的 企业 虚拟 化 技术 项 目 : 
项 目 需 求 、 实 际 应 用 场景 与 规模 、 承 担 的 主要 工作 
应 用 需求 和 必要 性 : 
使 用 率 、 不 同 环境 、 多 种 操作 系统 、 计 算 平 台 、 存 储 系统 
参与 的 规划 与 设计 方案 : 
(1) 整体 规划 
(2) 网 络 拓扑 
3 (3) 硬件 选 型 : 每 项 3 分， 共 15 分 
交换 机 、 路 由 器 、 连 接 介质 、 服 务 、 虚 拟 化 系统 
(4) 软件 选 型 
(5$) 预算 与 造价 
实施 效果 : 
(1) 优 缺 点 : 
4 服务 器 、 效 益 、 效 率 、 资 源 利 用 、 管 理 每 点 1 分 ， 共 10 分 
(2 ) 性 能 : 
速率 、 延 迟 、 丢 包 率 、 安 全 、 维 护 


0 一 10 分 


每 氮 2 分 ， 共 10 分 


本 题 得 分 为 四 项 得 分 之 和 。 
2. 表达 能 力 的 评判 〈 满 分 15 分 ) 。 要 点 及 得 分 情况 如 下 表 所 示 。 


序号 得 分 


1 结构 合理 、 摘 要 逻辑 性 强 、 正 文 完 整 、 语 言 流畅 、 字 迹 清楚 13 一 1 办 
2 结构 合理 、 摘 要 有 逻辑 性 、 正 文 比 较 完 整 、 书 写 基本 规范 9“<“12 芬 
3 结构 较 合 理 、 有 摘要 、 正 文 内 容 比 较 混 乱 0 一 8 分 
3. 综合 能 力 与 分 析 能 力 的 评判 〈 满 分 15 分 ) 。 要 点 及 得 分 情况 如 下 表 所 示 。 


序号 得 分 
明确 给 出 企业 网 络 虚 拟 化 规划 和 设计 方案 ， 并 对 系统 进行 性 能 分 


13 一 15 分 


析 ， 实 施 效 果 有 明显 特色 


有 企业 网 络 虚拟 化 规划 和 设计 方案 ， 有 系统 性 能 分 析 9 一 这 分 
3 


0 一 8 分 


企业 网 络 虚拟 化 规划 和 设计 方案 不 完整 ， 未 对 系统 进行 性 能 分 析 


如 条 有 以 下 情况 之 一 ， 考 生 下 午 试卷 I 的 最 终 成 绩 为 零 分 : 

(1) 试卷 总 字数 不 超过 15 字 的 ; 

《2) 所 答 内 容 完全 离 题 的 

(3) 答卷 中 出 现 政治 反动 、 思 想 偶 激 、 痛 离 基本 人 类 道德 和 价值 观 、 辱 加 监考 人 员 、 对 阅 
卷 人 员 提 出 过 分 要 求 等 内 容 之 一 的 。 
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